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内 容 提要 


Amazon Web Services (AWS) 是 亚马逊 公司 的 云 计算 平台 ， 它 提 
供 了 一 整套 基础 设施 和 应 用 程序 服务 ， 可 以 帮助 用 户 在 云 中 运行 几乎 
一 切 应 用 程序 。 本 书 介 绍 了 AWS 云 平台 的 核心 服务 ， 如 计算 、 存 储 和 
网 络 等 内 容 。 读 者 还 可 以 从 本 书 中 了 解 在 云 上 实现 目 动 化 、 保 证 安 
人 全、 实现 高 可 用 和 海量 扩展 的 系统 架构 的 最 佳 实践 。 


本 书 分 4 个 部 分 ， 共 14 章 。 本 书 从 介绍 AWS 的 基本 概念 开始 ， 引 
入 具体 的 应 用 示例 ， 让 读者 对 云 计算 和 AWS 平 台 有 一 个 整体 的 了 解 ; 
然后 讲解 如 何 搭建 包含 服务 器 和 网 络 的 基础 设施 ; 在 此 基础 上 ， 深 入 
介绍 如 何在 云 上 存 取 数 据 ， 让 读者 熟悉 存储 数据 的 方法 和 技术 ， 最 后 
展开 讨论 在 AWS 上 如 何 设计 架构 ， 了 人 解 实现 高 可 用 性 、 融 容错 率 和 厨 
扩展 性 的 最 佳 实践 。 


本 书 适合 对 AWS 感 兴趣 的 运 维 人 员 和 开发 人 员 ， 尤 其 是 那些 需要 
将 分 布 式 应 用 同 AWS 平 台 迁 移 的 运 维 人 员 和 开发 人 员 阅 读 。 


译 者 序 


大 约 30 年 前 ， 我 第 一 次 见 到 了 传说 中 的 计算 机 一 一 名 为 IBM PC 的 
个 人 电脑 。 以 今天 的 眼光 来 看 ， 这 人 台 设 备 体 型 庞大 、 磁 盘 咏 咏 作 啊 、 
操作 界面 极其 简单 ， 但 是 在 那个 时 代 能 够 操作 这 人 台 设 备 的 人 简直 是 风 
毛 馆 角 。 在 其 他 同学 面前 ， 我 不 由 得 暗 目 得 意 ， 示 来 是 计算 机 的 时 
代 ， 而 我 们 注定 是 这 个 时 代 的 佼佼 者 。 


大 约 25 年 前 ， 我 第 一 次 通过 一 台 终 端 连接 上 了 互联 网 ， 屠 个 年 代 
极 少 有 人 知道 的 新 玩意 儿 。 尽 管 当 时 互联 网 上 的 资源 还 是 少 得 可 怜 ， 
可 这 不 妨碍 我 用 Gopher、FTP 还 有 Mosaic 玩 得 不 亦 乐 乎 。 我 相信 我 接 
触 到 的 是 一 个 远 未 开发 出 来 的 金 矿 ， 它 一 定 会 改变 我 们 的 生活 。 


大 约 10 年 前 ， 通 过 IT 媒 体 我 昕 到 了 那个 时 间 最 热门 的 概念 一 一 云 
计算 。 尺 管 关 于 什么 是 云 计算 以 及 云 计算 究竟 会 产生 怎样 的 影响 还 有 
很 大 的 争议 ,但 是 基于 互联 网 提供 计算 服务 的 这 个 想法 还 是 让 我 感到 
无 比 的 振奋 。 我 知道 延续 技术 发 展 的 脉络 ， 未 来 的 计算 机 以 及 互联 网 
注定 要 融入 云 计算 这 个 外 延 无 限 广 阔 的 概念 当中 。 


时 至 今日 ， 我 们 生活 中 用 到 的 手机 打车 、 移 动 文 付 、 社 区 媒体 、 
新 闻 娱 乐 还 有 各 种 各 样 的 靳 奇 的 应 用 无 一 例外 都 是 依托 于 云 计 算 而 风 
起 云 涌 般 地 出 现 的 。 而 诸如 联合 利 华 、GE、 飞 利 浦 以 及 时 代 集 团 这 样 
的 传统 企业 也 在 利用 云 计 算 实现 其 数字 化 转型 。 无 疑 ， 云 计算 已 经 是 
这 个 时 代 的 “新 常态 ”。 


今天 当 我 们 谈论 起 云 计算 ， 总 会 让 我 联想 到 30 年 前 的 个 人 电脑 以 
及 25 年 前 互联 网 的 出 现 。 我 相信 云 计算 帝 来 的 改变 和 冲击 不 会 亚 于 前 
两 次 技术 进步 的 浪潮 ， 而 我 们 注定 要 在 这 个 变 章 时 代 做 出 选择 ， 成 为 
辜 家 或 者 被 时 代 淘 汰 。 


我 们 选择 翻译 这 一 本 书 的 目的 ， 束 是 想 让 更 多 的 读者 了 解 到 当前 
云 计算 发 展 的 状态 。 通 过 实践 让 目 己 成 为 弄潮儿 。 在 我 的 职业 经 历 
中 ， 已 经 见识 过 太 多 的 因为 不 适应 技术 进步 而 被 淘汰 的 输家 。 当 这 一 
次 变 早 到 来 的 时 刻 ， 我 们 和 希望 每 一 位 读者 都 可 以 是 时 代 的 顾家 。 


感谢 人 民 邮 电 出 版 社 编辑 对 我 们 的 支持 ， 没 有 他 们 的 努力 这 本 书 
` 会 面世 。 在 此 一 并 致谢 。 
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在 整个 20 世 纪 90 年 代 末 和 21 世 纪 初 ， 作 为 系统 管理 员 ， 我 负责 维 
护 网 络 服务 在 线 、 安 全 和 确保 用 户 的 正常 使 用 。 当 时 ， 维 护 系统 是 一 
件 乏 味 、 单 调 的 事情 ， 涉 及 网 络 电 统 吊 狠 、 服 务 器 机 架 、 从 光 副 介质 
安 闭 操作 系统 和 手动 配置 软件 。 任 何 希 望 从 事 新 兴 在 线 网 络 市 场 的 企 
业 都 要 承担 管理 物理 服务 郁 、 接 受 相关 资金 成 本 和 运 东 成 本 的 压力 ， 
并 希望 获得 足够 的 成 功 来 证 明 这 些 付 出 是 有 价值 的 。 


当 Amazon Web Services (AWS) 在 2006 年 出 现 的 时 候 ， 它 标志 
行业 的 转变 。 许 多 以 前 重复 、 耗 时 的 任务 变 得 不 必要 了 ， 局 动 新 服务 
的 成 本 急剧 下 降 。 突 然 之 间 ， 任 何 有 创意 和 行动 能 力 的 人 都 可 以 在 世 
界 级 的 基础 设施 上 建立 一 个 全 球 性 的 业务 ， 并 且 只 需要 付出 每 小 时 几 
美 分 的 成 本 。 就 针对 已 有 的 格局 的 颠覆 性 而 言 ， 一 些 技术 明显 凌 蜀 于 
其 他 领域 之 上 ，AWS 就 是 其 中 之 一 。 


当今 ， 进 步 的 步伐 依然 不 减 。2014 年 11 月 ， 在 拉 斯 维 加 斯 举行 的 
年 度 re:Invent 大 会 上 ，AWS 宣 布 这 一 次 与 会 的 人 数 超 过 13 000A, M 
2008 年 起 ，AWS 的 主要 新 功能 和 服务 的 数量 每 年 都 几乎 翻 了 一 倍 。 
为 现 有 服务 也 有 类 似 比 例 的 增长 ，S3 和 EC2 服 务 较 上 年 有 大 约 100% 的 
增长 。 这 种 增长 为 工程 师 和 企业 提供 了 新 的 机 遇 ， 提 供 了 着 力 解决 一 
些 具 有 挑战 性 的 问题 的 能 力 ， 可 以 帮助 他 们 去 构建 互联 网 领域 一 些 具 
有 挑战 的 问题 。 


不 用 说 ， 这 种 前 所 未 有 的 力量 和 灵活 性 以 极 大 的 复杂 性 作为 代 
价 。 在 客户 期 竺 并 啊 应 客户 需求 的 情况 下 ，AWS 已 经 提供 了 许多 的 服 
务 ， 其 中 数 以 生计 的 功能 和 特性 有 时 候 容 易 让 新 用 户 混淆 。 这 些 显 而 
易 见 的 好 处 也 伴随 着 一 个 个 轿 靳 的 词汇 和 独特 架构 以 及 最 佳 拉 术 实 
践 。 当 然 ， 有 时 这 些 服务 功能 上 的 重 且 也 会 使 初学 者 困惑 。 


本 书 通 过 示例 让 读者 掌握 知识 ， 揭 示 了 学 习 AWS 面 临 的 挑战 。 两 
位 作者 Andreas 和 Michael 从 事 于 用 户 可 能 过 到 的 重要 的 服务 和 功能 ， 
并 且 把 安全 性 的 考虑 放 在 了 优先 和 中 心 的 位 置 。 这 样 有 助 于 建立 安全 
的 云 中 的 托管 系统 ， 即 使 是 对 安全 敏感 的 应 用 也 是 安全 的 。 因 为 许多 


(coe 中 收 到 账单 ， 所 以 书 中 对 需要 付费 的 例子 都 会 明确 指 
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作为 一 名 顾问 、 作 者 和 工程 师 ， 我 非常 沉沉 那 些 对 新 用 户 介 绍 云 
计算 美妙 世界 的 所 有 努力 。 我 可 以 目 信 地 说 ， 本 书 是 一 本 实用 指南 ， 
可 以 帮助 我 们 罕 过 迷宫 走 同 行业 领先 的 云 计 算 平台 。 


有 了 这 本 书 作 为 助手 ， 你 会 在 AWS 云 上 搭建 什么 ? 


Ben Whaley 
AWS 社 区 英雄 


《The UNIX and Linux System Administration Handbook》 一 书 的 作者 
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当 我 们 开始 开发 软件 时 ， 我 们 并 不 关心 运 维 。 我 们 编写 代码 ， 其 
他 人 人 负责 部 嗜 和 运 维 。 这 束 意 味 厦 ， 软 件 开发 和 运 维 之 间 存 在 巨大 的 
鸿沟 。 更 重要 的 是 ， 发 布 新 功能 往往 意味 着 巨大 的 风险 ， 因 为 我 们 无 
法 针对 基础 设施 所 有 的 变更 进行 手动 测试 。 当 需要 部 车 新 功能 时 ， 
隅 6 个 月 我 们 就 要 经 历 一 场 虐 梦 。 


时 间 流 渤 ， 我 们 开始 人 负责 一 个 产品 。 我 们 的 目标 古 快 速 迭 代 ， 并 
且 能 够 每 周 对 产品 发 布 新 的 功能 。 我 们 的 软件 要 负责 管理 资金 ， 因 
此 ， 软 件 和 基础 设施 的 质量 与 创新 能 力 一 样 重要 。 但 是 ， 缺 乏 灵活 性 
的 基础 设施 和 过 时 的 软件 部 署 过 程 使 这 一 目标 根本 无 法 实现 。 于 古 ， 
我 们 开始 寻找 更 好 的 方法 。 


我 们 搜索 到 了 Amazon Web Services (AWS) ， 它 为 我 们 提供 了 灵 
活 、 可 靠 的 方式 来 构建 和 运行 我 们 设计 的 应 用 程序 。 让 我 们 的 基础 设 
施 的 每 一 部 分 实现 自动 化 的 可 能 性 令 人 着 迷 。 逐 步 地 ， 我 们 党 试 不 同 
的 AWS 服 务 ， 从 虚拟 服务 器 到 分 布 式 消息 队列 。 能 够 将 运行 SQL 数据 
库 或 在 负载 均衡 器 上 终止 HTTPS 连 接 这 类 任务 外 包 的 特性 为 我 们 节省 
了 大 量 的 时 间 。 我 们 将 节省 下 来 的 时 间 投 入 到 实现 整个 基础 设施 的 自 
动 化 测试 和 运 维 上 。 


技术 方面 并 不 是 在 回 云 转型 过 程 中 发 生 的 唯一 变化 。 一 段 时 间 
后 ， 软 件 架 构 从 单 体 应 用 转变 为 微服 务 架构 ， 软 件 开发 与 运 维 之 间 的 
鸿沟 消失 了 。 相 反 ， 我 们 围绕 DevOps 的 核心 原则 一 一 “ 谁 构 建 ， 谁 运 
维 ' 一 一 构建 了 我 们 的 组 织 机 构 。 


我 们 公司 是 站 家 在 AWS 上 进行 运营 的 德国 银行 。 我 们 在 这 个 云 计 
算 的 旅程 中 学 到 了 很 多 关于 Amazon Web Services、 微 服务 以 及 DevOps 
有 的 知识 。 


今天 ， 作 为 顾问 ， 我 们 正 致力 于 帮助 我 们 的 客户 充分 利用 AWS 。 
有 趣 的 是 ， 他 们 大 多 数 都 不 关心 怎样 节省 云 计算 的 成 本 ， 相 反 ， 他 们 
正在 改变 他 们 的 组 织 ， 从 AWS 提 供 的 创新 空间 中 获 花 并 领先 于 目 己 的 


竞争 对 手 


2015 年 1 月 ， 当 我 们 受 邀 编写 一 本 关于 AWs 的 书 时 ， 感 到 非常 惊 
讶 。 但 是 ， 在 我 们 与 Manning 出 版 社 的 编辑 第 一 次 通电 话 之 后 ， 体 会 
到 了 Manning 出 版 社 的 专业 水 准 ， 我 们 变 得 越 来 越 有 信心 。 我 们 喜欢 
读书 以 及 传授 和 分 享 我 们 的 知识 ， 所 以 写 一 本 书 应 该 是 一 个 完美 的 四 
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由 于 Manning 出 版 社 和 MEAP 读 者 的 巨大 文 持 ， 我 们 得 以 在 9 个 月 
内 完成 了 本 书 。 我 们 喜欢 我 们 目 己 、 编 辑 和 MEAP 读 者 之 间 的 循环 反 
局 。 可 以 说 创建 和 改进 作为 本 书 一 部 分 的 所 有 示例 古 非 党 有 趣 的 。 


BUR FF 


本 书 由 异步 社区 出 品 ， 社 区 Chttps://www.epubit.com/) 为 您 提供 
相关 资源 和 后 续 服务 。 


配套 资源 
本 书 提供 如 下 资源 


。 ARRE ° 


要 获得 以 上 配套 资源 ， 请 在 异步 社区 本 书页 面 中 点 击 EEE 
跳 转 到 下 载 界面 ， 按 提示 进行 操作 即 可 。 注 意 : 为 保证 购书 读者 的 权 
益 ， 该 操作 会 给 出 相关 提示 ， 要 求 输入 提取 码 进行 验证 。 


提交 勘误 


作者 和 编辑 尽 最 大 努力 来 确保 书 中 内 容 的 准确 性 ， 但 难免 会 存在 
玖 着 。 欢 迎 您 将 发 现 的 问题 反馈 给 我 们 ， 帮 助 我 们 提升 图 书 的 质量 。 

当 您 发 现 错误 时 ， 请 登录 异步 社区 ， 按 书 名 搜索 ， 进 入 本 书页 
面 ， 点 击 “ 提 区 勘误 ”， 输 入 勘误 信息 ， 点 击 “ 提 区 ?按钮 即 可 。 本 书 的 
作者 和 编辑 会 对 您 提交 的 勘误 进行 审核 ， 确 认 并 接受 后 ， 您 将 获 赠 异 
步 社 区 的 100 积 分 。 积 分 可 用 于 在 异步 社区 兑换 优惠 券 、 样 书 或 奖品 。 


与 我 们 联系 


我 们 的 联系 邮箱 是 contact@Depubit.com.cn。 


如 果 您 对 本 书 有 任何 疑问 或 建议 ， 请 您 发 邮件 给 我 们 ， 并 请 在 邮 
件 标题 中 注 明 本 书 书 名 ， 以 便 我 们 更 高 效 地 做 出 反馈 。 


如 果 您 有 兴趣 出 版 图 书 、 录 制 教学 视频 ， 或 者 参与 图 书 翻译 、 技 
术 审 校 等 工作 ， 可 以 发 邮件 给 我 们 ;有意 出 版 图 书 的 作者 也 可 以 到 异 
0 (直接 访问 www.epubit.com/selfpublish/submission 
BU ay 


如 果 您 是 学 校 、 培 训 机 构 或 企业 ， 想 批量 购买 本 书 或 异步 社区 出 
版 的 其 他 图 书 ， 也 可 以 发 邮件 给 我 们 。 


如 果 您 在 网 上 发 现 有 针对 异步 社区 出 品 图 书 的 各 种 形式 的 盗版 行 
为 ， 包 括 对 图 书 全 部 或 部 分 内 容 的 非 授 权 传 播 ， 请 您 将 怀疑 有 侵权 行 
为 的 链接 发 邮件 给 我 们 。 您 的 这 一 举动 古 对 作者 权益 的 保护 ， 也 古 我 
们 持续 为 您 提供 有 价值 的 内 容 的 动力 之 源 。 


关于 异步 社区 和 异步 图 书 


“异步 社区 "是 人 民 邮 电 出 版 社 旗下 IT 专 业 图 书社 区 ， 致 力 于 出 版 
精品 IT 技 术 图 书 和 相关 学 习 产 品 ， 为 作 译 者 提供 优质 出 版 服务 。 异 步 
社区 创办 于 2015 年 8 月 ， 提 供 大 量 精品 IT 技术 图 书 和 电子 书 ， 以 及 高 品 
质 技术 文章 和 视频 课程 。 更 多 详情 请 访问 异步 社区 官网 https:// 


www.epubit.com ° 


“异步 图 书 ” 是 由 异步 社区 编辑 团队 策划 出 版 的 精品 开 专 业 图 书 的 
品牌 ， 依 托 于 人 民 邮 电 出 版 社 近 30 年 的 计算 机 图 书 出 版 积累 和 专业 编 
辑 团 队 ， 相 关 图 书 在 封面 上 印 有 异步 图 书 的 LOGO。 异 步 图 书 的 出 版 
领域 包括 软件 开发 、 大 数据 、AI、 测 试 、 前 端 、 网 络 技术 等 。 


微 信 服务 号 


致谢 


写 一 本 书 是 非常 耗 时 的 。 我 们 投入 了 大 量 的 时 间 ， 其 他 人 也 一 样 
投入 了 大 量 的 时 间 。 我 们 认为 时 间 是 地 球 上 最 有 价值 的 资源 之 一 ， 我 
们 要 尊重 帮助 我 们 完成 这 本 书 的 人 们 为 此 所 人 花费 的 每 一 分 钟 。 


感谢 所 有 购买 MEAP 版 本 的 读者 ， 你 们 的 信任 激励 我 们 完成 这 本 
书 ， 而 且 你 们 还 分 享 了 自己 对 AWS 的 兴趣 。 感 谢 你 们 阅读 这 本 书 ， 硕 
望 你 们 能 有 所 收获 。 


感谢 所 有 在 本 书 作者 在 线 论坛 上 发 表 评 论 以 及 为 改进 这 本 书 提供 
精彩 反馈 的 人 们 ° 


感谢 所 有 从 第 一 页 到 最 后 一 页 提供 了 详细 评论 的 审阅 者 ， 他 们 是 
Arun Allamsetty ` Carm Vecchio ` Chris Bridwell ` Dieter Vekeman ` 
Ezra Simeloff ` Henning Kristensen ` Jani Karhunen ` Javier Muñoz 
Mellid ` Jim Amrhein ` Nestor Narvaez ` Rambabu Posa ` Scott 
Davidson ` Scott M. King ` Steffen Burzlaff ` Tidjani Belmansour 和 
William E. Wheeler。 你 们 的 建议 帮助 我 们 塑造 了 这 本 书 ， 硕 望 你 们 像 
我 一 样 喜 欢 这 本 书 。 


我 们 也 要 感谢 Manning 出 版 社 对 我 们 的 信任 。 这 是 我 们 写 的 第 一 
本 书 ， 所 以 我 们 知道 他 们 在 承担 极 高 的 风险 。 我 们 要 感谢 Manning 出 
版 社 以 下 工作 人 员 的 出 色 工 作 。 


e Dan Maharry， 是 你 帮助 我 们 在 教授 AWS 的 时 候 不 要 缺少 重要 的 步 
又 。 感 谢 你 如 此 耐心 ， 容 忍 我 们 同样 的 错误 犯 好 几 次 。 我 们 也 想 
感谢 Jennifer Stout 和 Susanna Kline 在 Dan 度 假 的 时 候 给 予 的 帮助 。 

e Jonathan Thoms， 有 是 你 帮助 我 们 思考 如 何 表达 代码 背后 的 思想 。 

。 Doug Warren， 是 你 检查 了 我 们 的 代码 示例 是 否 按 预期 工作 。 

e Tiffany Taylor， 是 你 完善 了 我 们 的 英语 表达 。 我 们 知道 你 和 我 们 
ee 因为 我 们 的 母语 是 德语 ， 我 们 要 感谢 你 

e Candace Gillhoolley 和 Ana Romac， 是 你 们 帮 我 们 推广 这 本 书 。 


。 Benjamin Berg， 是 你 回答 了 我 们 天 于 写 书 的 许多 技术 方面 的 问 
题 。 


e Mary Piergies ` Kevin Sullivan ` Melody Dolab 以 及 所 有 其 他 幕后 工 
作者 ， 有 是 你 们 把 粗糙 的 初稿 变 成 了 一 本 真正 的 书 。 


非常 感谢 Ben Whaley 为 本 书 作 序 。 


还 要 感谢 Christoph Metzger ` Harry Fix 和 Tullius Walden Bank 团 队 
为 我 们 提供 了 一 个 令 人 难以 置信 有 的 工作 场所 ， 在 这 里 通过 将 德国 第 一 
家 银行 的 原 有 IT 迁移 到 AWS 上 ， 我 们 获得 了 很 多 AWS 技 能 。 


最 后 但 同样 重要 的 是 ， 我 们 要 感谢 我 们 生活 中 的 一 些 重要 的 人 ， 
他 们 在 我 们 写 这 本 书 时 默默 地 文 持 我 们 。Andreas 要 感谢 他 的 妻子 
Simone，Michael 要 感谢 他 的 合伙 人 Kathrin 在 过 去 9 个 月 的 附 心 和 茧 
励 。 


关于 本 书 


本 书 介 绍 了 一 些 重要 的 AWS 服 务 ， 以 及 如 何 组 合 它 们 以 便 充 分 利 
用 Amazon Web Services。 我 们 的 大 多 数 示例 都 使 用 典型 的 web 应 用 程 
序 来 展示 要 点 。 我 们 非常 重视 安全 话题 ， 所 以 本 书 遵循 “最 小 特权 ”的 
原则 ， 而 且 尽 可 能 使 用 官方 的 AWS 工 具 。 


自动 化 贯穿 于 整 本 书 ， 所 以 最 终 读者 会 很 乐意 使 用 目 动 化 工具 
CloudFormation， 来 以 目 动 化 的 方式 设置 目 己 所 学 到 的 知识 ， 这 将 是 
读者 能 从 本 书 中 学 到 的 最 重要 的 技能 之 一 。 


本 书 将 介绍 3 种 类 型 的 代码 清单 : Bash、JSON 和 
Node.js/JavaScript。 我 们 使 用 Bash 创 建 小 型 的 脚本 ， 以 目 动 方式 与 
AWS 进 行 交 互 ; JSON 用 于 以 CloudFormation 可 以 理解 的 方式 描述 基础 
设施 ; 当 需 要 编程 来 使 用 服务 时 ， 我 们 使 用 Node.js 平 台 用 JavaScript 创 
建 小 型 应 用 程序 。 


我 们 将 Linux 作 为 本 书 中 虚拟 服务 器 的 操作 系统 。 所 有 的 示例 尽 可 
能 地 基于 开源 软件 。 


路 线 图 


第 1 章 介 绍 云 计算 和 AWS。 我 们 将 了 解 关 键 概 念 和 基础 知识 ， 并 
创建 和 设置 自己 的 AWS 账 户 。 


第 2 章 将 Amazon Web Services 市 入 具体 操作 中 。 我 们 将 轻而易举 
地 进入 复杂 的 云 基础 设施 。 


第 3 章 是 关于 使 用 虚拟 服务 右 的 。 这 一 章 将 借助 一 些 实际 的 例子 ， 
讲解 EC2 服 务 的 主要 概念 。 


第 4 章 会 展示 实现 目 动 化 基础 设施 的 不 同方 法 。 通 过 使 用 3 种 不 同 


的 方法 ， 我 们 将 了 解 何谓 “基础 架构 即 代 码 ”， 这 3 种 方法 分 别 是 终端 、 
编程 语言 和 称 为 CloudFormation 的 工具 。 
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工具 以 目 动 方式 将 应 用 程序 部 团 到 AWS © 


第 6 章 是 关于 安全 性 的 。 我 们 将 学 习 如 何 使 用 私有 网 络 和 防火 墙 来 
保护 目 己 的 系统 ， 还 将 学 习 如 何 保护 目 己 的 AWS 账 亡 。 


第 7 章 会 介绍 了 提供 对 象 存 储 服 务 的 93， 以 及 提供 长 期 存储 服务 
的 Glacier 。 我 们 将 学 习 如 何 将 对 象 存储 集成 到 应 用 程序 中 以 实现 无 状 
态 服 务 右 ， 并 用 以 创建 映像 库 的 示例 。 


第 8 章 是 天 于 AWS 近 供 的 虚拟 服务 器 的 块 存储 的 。 如 采 计 划 在 块 
存储 上 运行 原 有 的 软件 ， 这 是 一 个 有 趣 的 话题 。 我 们 还 可 以 进行 一 些 
性 能 的 测量 ， 以 了 解 AWS 上 可 用 的 选项 。 


第 9 章 会 介绍 RDS， 这 是 一 种 为 客户 管理 关系 数据 库 系统 (如 
PostgreSQL ` MySQL ` Oracle 和 Microsoft SQL Server) 而 提供 的 服 
务 。 如 有 果 客 户 的 应 用 程序 使 用 这 种 天 系数 据 库 系 统 ， 这 就 是 实现 无 状 
人 态 服 务 絮 架构 的 简单 方法 。 


第 10 章 会 介绍 DynamoDB， 一 个 提供 NoSQL 数 据 库 的 服务 。 我 们 
可 以 将 该 NoSQL 数 据 库 集 成 到 应 用 程序 中 以 实现 无 状态 服务 器 。 我 们 
将 在 这 一 章 中 实现 一 个 竺 办 事 定 应 用 的 程序 。 


第 11 章 是 关于 独立 的 服务 器 和 完整 的 数据 中 心 的 基础 知识 的 。 我 
们 将 学 习 如 何在 同一 个 或 男 一 个 数据 中 心中 恢复 单个 EC2 实 例 。 


第 12 章 会 介绍 将 系统 解 硝 以 增加 可 靠 性 的 概念 。 我 们 将 学 习 如 何 
在 AWS 上 的 负载 均衡 絮 的 帮助 下 实现 同步 解 厢 。 异 步 解 糊 也 是 这 一 草 
、 我 们 解释 如 何 使 用 SQS 〈 一 种 分 布 式 队列 服务 ) 搭建 
容错 系统 。 


第 13 章 会 展示 如 何 使 用 所 学 的 许多 服务 搭建 容错 的 应 用 程序 。 在 
这 一 章 中 ， 我 们 将 学 习 基 于 EC2 实 例 设 计 容 错 Web 应 用 程序 所 需 的 所 
有 内 容 ， 默 认 情 况 下 它们 是 不 会 容错 的 。 


第 14 草 的 内 容 都 是 天 于 系统 灵活 性 的 。 我 们 将 学 习 如 何 根 据 调 度 
或 基于 系统 当前 的 负载 来 扩展 基础 结构 的 容量 。 


代码 的 约定 和 下 载 


代码 清单 中 或 正文 中 的 所 有 源 代码 都 是 等 宽 字 体 ， 以 便 与 普通 文 
本 区 分 开 。 许 多 代码 清单 附带 了 代码 注释 ， 突 出 了 重要 的 概念 。 在 某 
些 情况 下 ， 有 编号 的 项 目 符号 与 代码 清单 后 面 的 说 明 联 系 起 来 ， 有 时 
我 们 需要 将 一 行 分 成 两 行 或 更 多 ， 以 适应 页 面 。 在 我 们 的 Bash 代 码 
中 ， 我 们 使 用 了 延续 的 反 斜 杜 。 在 我 们 的 JSON 和 Node.js/JavaScript 代 
码 中 ， 吕 这 个 符号 表示 一 个 人 为 换行 符 。 


本 书 中 的 示例 代码 可 从 出 版 社 的 官方 网 站 下 载 。 


关于 作者 


安 德 烈 亚 斯 * 威 带 格 (Andreas Wittig) 和 迈克 尔 * 威 蒂 格 (Michael 
Wittig) 作为 软件 工程 师 和 顾问 ， 专 注 于 AWS 以 及 Web 应 用 程序 和 移动 
应 用 程序 开发 。 他 们 与 过 及 全 球 的 客户 一 同 工 作 。 他 们 一 起 将 德国 银 
行 的 整个 IT 基础 设施 迁移 到 了 AWwS。 这 在 德国 银行 界 算 是 首 例 。 
Andreas 和 Michael 在 分 布 式 系统 开发 和 架构 、 算 法 交易 和 实时 分 析 方 
面具 有 专长 。 他 们 是 DevOps 模 型 的 拥 和 是， 且 都 是 AWS 认 证 的 专业 级 
ee 师 (AWS Certified Solutions Architect, Professional 
Level 


关于 封面 插画 


本 书 封 面 上 的 图 片 标题 为 “Paysan du Can-ton de Lucerne”， 这 是 瑞 

士 中 部 户 塞 恩 州 的 一 名 农民 。 这 张 照 厂 摘 自 《Jacques Grasset de Saint- 

Sauveur》 (1757—1810) 1797 年 在 法 国 出 售 的 来 自 各 国 的 服装 服饰 的 

«Costume deDifférent Pays) ° 每 幅 画 都 是 经 过 精心 绘制 和 手工 上 
的 。 


Grasset de Saint-Sauveur 的 图 集 丰 富 多 彩 ， 让 我 们 生动 地 看 到 了 世 
界 各 地 的 城市 和 地 区 在 200 多 年 前 的 文化 差异 。 彼 此 隔绝 ， 人 们 讲 着 不 
同 的 方言 和 语言 。 在 街头 或 农村 ， 通 过 人 们 的 服装 服饰 很 容易 束 能 确 
定 他 们 住 在 哪里 ， 以 及 他 们 的 号 份 和 职位 。 


从 那 时 起 ， 我 们 的 着 关 方式 发 生 了 变化 ， 当 时 地 域 的 多 样 化 市 来 
的 着装 上 的 丰富 多 彩 已 经 渐渐 消逝 。 现 在 很 难 分 辨 不 同 地 域 的 居民 ， 
更 别 说 不 同城 镇 、 不 同 地 区 或 不 同 国家 的 居民 了 “。 也 许 我 们 已 经 用 更 
多 样 化 的 个 人 生活 交换 了 文化 多 样 性 一 一 当然 这 是 为 了 一 个 更 多 样 化 
和 人 快 节奏 的 科技 生活 。 

在 很 难 分 辨 出 一 本 计算 机 相关 的 图 书 的 时 候 ，Manning 出 版 社 以 


两 个 世纪 前 丰富 多 样 的 地 域 生活 为 基础 ， 借 用 Grasset de Saint-Sauveur 
的 图 画作 为 书籍 的 封面 ， 以 此 赞美 计算 机 行业 的 创造 性 和 主动 性 。 


第 一 部 分 AWS 云 计算 起 步 


你 有 没有 在 Netflix 上 看 过 影片 ， 在 Amazon.com 上 飞 过 小 玩意 ， 或 
者 今天 同步 过 Dropbox 上 的 文件 吗 ? 如 果 有 的 话 ， 你 束 已 经 在 后 台 使 
用 了 Amazon Web Services (AWS) 。 截 至 2014 年 12 月 ，AWS 运 营 了 
140 万 台 服 务 器 ， 是 云 计算 市 场 的 大 玩家 。AWS 的 数据 中 心 广泛 分 布 
于 美国 、 欧 洲 、 亚 洲 和 南美 洲 。 但 云 计 算 不 只 是 由 硬件 和 计算 能 力 构 
成 的 ， 软 件 是 每 个 云 计算 平台 的 一 部 分 ， 能 使 客户 体验 到 云 平 台 的 差 
异 。 信 息 技 术 的 研究 机 构 Gartner 将 AWS 列 为 云 计 算 基 础 设施 即 服 务 
(IaaS) 的 魔力 象限 的 领导 者 。 算 上 2015 年 这 已 经 是 第 四 次 了 。 这 是 
因为 ，AWS 平 台 上 的 创新 速度 以 及 服务 的 质量 都 是 非常 高 的 。 


本 书 的 第 一 部 分 将 作为 了 解 AWS 的 第 一 步 ， 引 导读 者 了 解 如 何 使 
用 AWS 来 改善 IT 基础 设施 。 第 1 章 将 介绍 云 计 算 和 AWS， 读 者 将 了 解 
关键 概念 和 基础 知识 。 第 2 章 将 介绍 Amazon Web Service 的 具体 操作 ， 
让 读者 轻松 进入 复杂 的 云 基础 设施 。 


第 1 章 ”什么 是 Amazon Web Services 


本 章 主要 内 容 


e Amazon Web Services 概 述 

。 使 用 Amazon Web Services 的 益处 

。 客户 可 以 使 用 Amazon Web Services 做 什么 的 示例 
。 创建 以 及 设置 Amazon Web Services 账 户 


Amazon Web Service (AWS) 是 一 个 提供 web 服务 解决 方案 的 平 
台 ， 它 提供 了 不 同 抽象 层 上 的 计算 、 存 储 和 网 络 的 解决 方案 。 客 户 可 
以 使 用 这 些 服务 来 托管 网 站 ， 运 行 企 业 应 用 程序 和 进行 大 数据 挖掘 。 
这 里 提 到 的 术语 Web 服 务 ， 它 的 含义 是 可 以 通过 Web 界 面 来 控制 服 
务 。Web 界 面 可 以 由 机 恬 或 人 类 通过 图 形 用 户 界 面 来 操作 。 其 中 最 突 
出 的 服务 是 提供 虚拟 服务 絮 的 EC2， 以 及 提供 存储 服务 的 S3。AWS 上 
的 服务 可 以 配合 工作 ， 客 户 可 以 使 用 它们 来 复制 现 有 的 在 企业 内 部 部 
署 的 系统 ， 或 者 从 头 开 始 设 计 新 的 设置 。 这 些 服务 按 使 用 付费 定价 模 
式 收取 服务 费用 。 


AWS 的 客户 可 以 选择 不 同 的 数据 中 心 。AWS 数 据 中 心 分 布 在 美 
、 欧 洲 、 亚 洲 和 南美 洲 等 。 例 如 ， 客 户 可 以 在 日 本 局 动 一 个 虚拟 服 
务 器 ， 与 在 爱尔兰 局 动 虚拟 服务 器 是 一 样 的 。 这 使 你 能 够 为 世界 各 地 
的 客户 提供 全 球 性 的 基础 设施 服务 。 


所 有 客户 都 可 以 使 用 的 AWS 数 据 中 心 分 布 在 德国 、 类 国 (西部 1 
处 、 东 部 2 处 ) 、 爱 尔 兰 、 日 本 、 新 加 坡 、 澳 大 利 亚 和 巴西 。 所 


| (1) 截至 2018 年 1 A, AWS 云 在 全 球 18 个 地 区 内 运营 着 49 个 可 用 区 ， 具 体 信 息 可 以 参考 
AWS 官网 介绍 ° 译 者 注 


AWS 没 有 公开 其 数据 中 心 所 使 用 的 硬件 。AWS 运 行 的 计算 、 Pa AE PARTIET FATAR 


是 巨大 的 。 与 使 用 品牌 硬件 设备 的 额外 费用 术 ERA 能 使 用 商品 化 的 硬件 组 件 以 节省 
成 本 。 硬 件 故障 的 处 理 依靠 真实 的 流程 和 软件 。 


AWS 还 使 用 针对 其 使 用 场景 而 特别 开发 的 硬件 。 一 个 很 好 的 例子 是 英特尔 Xeon E5- 


iil 
2666 v3 CPU“。 这 款 CPU 经 过 优化 为 EC2 C4 系列 的 虚拟 服务 器 提供 支持 。 


| [2] Bernard Golden, “Amazon Web Services (AWS) Hardware,” For Dummies. 


从 更 广泛 的 意义 上 讲 ，AWS 就 是 所 谓 的 云 计算 平台 。 
11 什么 是 云 计 算 


几乎 目前 每 个 IT 解决 方案 都 标 有 云 计 算 或 者 云 。 一 个 时 淫 的 词汇 
可 能 有 助 于 产品 销售 ， 但 在 本 书 中 却 不 适用 。 


云 计算 或 云 是 针对 IT 资 源 的 供应 和 消费 的 一 个 比喻 。 云 中 的 末 资 
源 对 用 户 来 说 不 直接 可 见 ， 在 这 之 间 有 多 个 抽象 的 层 。 云 计算 提供 的 
抽象 级 别 可 能 会 因 虚 拟 硬 件 与 复 洒 的 分 布 式 系统 而 有 所 不 同 。 资 源 可 
根据 需要 大 量 提 供 ， 并 按 使 用 付费 。 


下 面 是 美国 国家 标准 和 技术 研究 所 (NIST) 对 云 计算 的 一 个 较为 
正式 的 定义 : 


云 计 算 钙 一 种 普 适 的 、 方 便 的 、 按 需 提供 网 络 访问 的 可 配置 的 
计算 资源 (如 网 络 、 服 务 器 、 存 储 、 应 用 程序 和 服务 的 共享 池 模 


型 ， 它 能 够 以 最 少 的 管理 工作 量 或 与 服务 提供 者 交互 的 方式 快速 进 
行 分 配 和 发 布 。 


云 计 算 通 常 被 划分 成 以 下 几 种 类 型 。 


。 公 有 云 一 一 由 某 一 机 构 、 公 司 管理 并 对 公众 开放 使 用 的 云 计算 。 
”私有 去 一 一 在 单个 由 机 构 中 通过 虚拟 化 大 tk 享 出 来 的 I 基础 设施 。 
。 混合 云 一 一 公有 云 和 私有 云 的 混合 


AWS 提 供 的 古 公有 云 服务 。 云 计算 服务 也 有 多 种 分 类 。 


。 基础 设施 即 服务 daas) 提供 计算 、 存 储 和 网 络 功能 等 基本 
资源 ， 使 用 Amazon EC2、Google Compute Engine 和 Microsoft 
Azure 虚 拟 机 这 一 类 虚拟 服务 絮 。 

平台 即 服 务 (PaaS) 提供 将 定制 的 应 用 部 署 到 云 上 的 平台 ， 
如 AWS Elastic Beanstalk ` Google App Engine 和 Heroku。 
软件 即 服务 (SaaS) 结合 了 基础 设施 和 软件 并 且 运 行 在 云 
端 ， 包 括 Amazon WorkSpaces ` Google Apps for Work 和 Microsoft 
Office 365 这 一 类 办 公 应 用 。 


AWS 产 品 阵容 包含 了 IaaSs、PaaS 和 SaaSs。 让 我 们 更 具体 地 了 解 一 
下 AWS 究 竟 可 以 做 什么 。 


1.2 AWS 可 以 做 什么 


客户 可 以 使 用 一 个 或 多 个 服务 组 合 在 AWS 上 运行 任何 应 用 程序 。 
本 节 中 的 示例 将 让 读者 了 解 AWS 可 以 做 什么 。 


1.2.1 托管 一 家 网 店 


John 是 一 家 中 型 电子 商务 企业 的 CIO。 他 的 目标 是 为 他 们 的 客户 
提供 一 个 快速 可 靠 的 在 线 商店 。 他 决定 由 企业 自行 管理 该 网 站 。3 年 前 
他 在 数据 中 心 租用 了 服务 器 。Web 服 务 器 处 理 来 自 客户 的 请 求 ， 数 据 
库存 储 商品 信息 和 订单 。John 正 在 评估 他 的 公司 如 何 利用 AWS 的 优势 
将 同样 的 设置 运行 在 AWS 上 上， 如 图 1-1 所 示 。 


Web 服 务 器 数据 库 


WM 免 维护 区 自行 维护 更 新 、 监 控 等 


图 1-1 ”运行 网 店 的 对 比 ， 自 建 和 运行 在 AWS 上 
John 意 识 到 有 其 他 选择 可 以 通过 额外 的 服务 来 改进 他 在 AWS 上 的 


设 


。 网 店 由 动态 内 容 (如 产品 及 其 价格 ) 和 静态 内 容 (如 公司 标志 ) 
等 组 成 。 通 过 区 分 动态 内 容 和 静态 内 容 ，John 可 以 在 内 容 分 发 网 
ee 
性 能 。 

John 在 AWS 上 使 用 了 免 维护 的 服务 ， 包 括 数据 库 、 对 象 存 储 和 

DNS 系统 等 。 这 使 他 免 于 管理 系统 的 这 些 部 分 ， 降 低 了 运营 成 本 
并 提高 了 服务 质量 。 

运行 网 店 的 应 用 程序 可 以 安装 在 虚拟 服务 器 上 。John 在 旧 的 本 地 
服务 器 的 上 配置 了 多 个 较 小 的 虚拟 服务 器 ， 这 不 需要 额外 的 费 

用 。 如 果 这 些 虚 拟 服务 器 有 一 台 发 生 故 障 ， 人 负载 均衡 絮 将 癌 其 他 
虚拟 服务 絮 发 送 客 己 请求。 这 样 的 配置 提高 了 网 站 的 可 靠 性 。 


图 1-2 展 示 了 John 是 如 何 利 用 AWS 增 强 他 们 的 网 店 的 。 


John 启 动 了 一 个 概念 验证 项 目 (POC) ， 他 发 现 这 些 Web 应 用 程 
序 可 以 迁移 到 AWS 上 ， 并 且 可 以 利用 AWS 上 的 服务 来 改进 设计 。 
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人 免 维护 Ee 自行 逢 级、 监控 等 
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图 1-2 ”在 AWS 使 用 CDN 使 得 Web 商 店 获得 更 好 的 性 能 ， 用 负载 均衡 器 实现 高 可 用 性 ， 
的 数据 库 来 降低 维护 成 本 


1.2.2 ”在 专 有 网 络 内 运行 一 个 Java EE 应 用 


Maureen 是 一 家 全 球 性 企业 的 高 级 系统 架构 师 。 当 公司 的 数据 中 
心 合同 在 儿 个 月 后 即将 到 期 的 时 候 ， 她 硕 望 将 部 分 业务 应 用 程序 迁移 
到 AWS 上 ， 以 降低 成 本 并 获得 灵活 性 。 她 发 现在 AWS 上 运行 企业 应 用 
程序 是 完全 可 行 的 。 


为 此 ， 她 在 云 中 设 定 了 一 个 虚拟 网 络 ， 并 通过 虚拟 专 网 (VPN) 
将 其 连接 到 了 网络。 公司 可 以 通过 使 用 子 网 以 及 控制 列表 来 管理 网 络 流 
量 ， 这 样 承 可 以 满足 访问 控制 和 保护 关键 任务 的 数据 。Maureen 使 用 
网 络 地 址 转换 (NAT) 和 防火 墙 来 控制 互联 网 的 流量 。 她 将 应 用 程序 
服务 器 安装 在 虚拟 机 (VM) 上 以 运行 Java EE 应 用 程序 。Maureen 还 考 
虑 将 数据 存储 在 SQL 数据 库 服务 之 中 (如 Oracle 数 据 库 企 业 版 或 
Microsoft SQL Server EE 版 ) 中 。 图 1-3 解 释 了 Maureen 的 架构 。 


Maureen 已 经 成 功 地 将 本 地 数据 中 心 与 AWS 上 的 私有 网 络 连 接 起 
来 。 她 的 团队 已 经 开始 将 第 一 个 企业 应 用 程序 迁移 到 云端 。 


is 虚拟 网 络 
bd 10,10.0.0/16 


私有 子 网 
10,10.0.0/24 


私有 子 网 
E VPN © E 10.10.1.0/24 


公司 网 络 网 关 Java EE 服务 器 


10,20.0.0/16 
私有 子 网 
0 10.10.2.0/24 


SQL 数据库 


图 1-3 在 企业 网 络 和 AWS 的 环境 中 运行 Java EE 应 用 
1.2.3 ”满足 法 律 和 业务 数据 归档 的 需求 


Greg 负责 管理 一 个 小 型 律师 事务 所 的 IT 基础 设施 。 他 的 主要 工作 
目标 是 以 可 靠 、 耐 用 的 方式 存储 和 归档 所 有 数据 。 他 运行 了 一 个 文件 
0 ee 
是 一 个 挑战 。 


。 他 需要 备份 所 有 文件 ， 以 防止 关键 数据 丢失 。 为 此 ，Greg 将 数据 
从 文件 服务 器 复制 到 另 一 个 网 络 附加 存储 (network-attached 
storage, NAS) 上 。 为 此 他 不 得 不 再 一 次 为 文件 服务 器 购买 硬 
件 。 文 件 服务 器 和 备份 服务 器 的 位 置 距离 很 近 ， 因 此 他 无 法 满足 
灾难 恢复 的 要 求 ， 如 从 火灾 或 突 发 事件 中 恢复 数据 。 

。 为 了 满足 法 律 和 业务 数据 存档 的 需求 ，Greg 需 要 能 够 长 时 间 地 存 
储 数据 。 将 数据 存储 10 年 或 更 长 时 间 是 件 很 坏 手 的 事情 。Greg 使 
用 了 一 个 昂 贯 的 归档 解决 方案 。 


Ay Te ote ere Be EVE, GregiRie (EALAWS © KRG 
fe Hal) A m AY EA A RS E o FSR AR fs Ne I SE 
E EEE AS A) 28 BT 0 eA AH a ot e ST BL Be SE 
在 所 需 的 时 间 段 内 归档 数据 的 任务 。 图 1-4 展 示 了 Greg 如 何在 AWS 上 实 
现 这 个 使 用 场景 ， 并 将 其 与 本 地 的 解决 方案 进行 比较 。 


Greg 在 AWS 上 存储 和 归档 数据 的 新 的 解决 方案 很 棒 ， 因 为 能 够 明 


显 地 提高 质量 ， 并 获得 了 扩展 存储 大 小 的 可 能 性 。 


本 地 公司 网 络 


本 地 公司 网 络 


oo 
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图 1-4 在 专 有 环境 和 AWS 下 备份 和 归档 数据 


1.2.4 ”实现 容错 的 系统 架构 


Alexa 是 一 名 软件 工程 师 ， 工 作 于 一 家 创业 企业 。 她 知道 墨 菲 定律 
适用 于 IT 基础 设施 : 任何 可 能 出 错 的 事情 都 会 出 错 。Alexa 正 在 努力 构 
建 一 个 容错 系统 ， 以 防止 运行 中 业务 出 现 中 断 。 她 知道 AWS 上 有 两 种 
类 型 的 服务 : 容错 服务 和 可 以 以 容错 方式 运行 的 服务 。Alexa 构 建 了 一 
个 如 图 1-5 所 示 的 具有 容错 架构 的 系统 。 数 据 库 服务 提供 复制 和 故障 转 
移 处 理 。Alexa 使 用 了 虚拟 服务 器 充当 Web 服 务 右 ， 这 些 虚 拟 服务 右 默 


认 情 况 下 不 具有 容错 的 特性 。 但 是 ，Alexa 使 用 了 负载 均衡 人 器， 并 可 以 
在 不 同 的 数据 中 心 局 动 多 台 服 务 卓 以 实现 容错 。 


到 目前 为 止 ，Alexa 采 用 的 方法 已 经 在 事故 中 保护 了 公司 的 系统 。 
不 过 ， 她 和 她 的 团队 总 是 在 为 各 种 系统 失效 做 计划 o 


现在 读者 对 AWS 可 以 做 什么 应 该 有 了 一 个 广泛 的 了 解 。 一 般 来 
说 ， 客 户 可 以 在 AWS 上 托管 任何 应 用 程序 。 下 一 节 将 介绍 AWS 提 供 的 
9 个 重要 的 好 处 。 
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图 1-5 ”在 AWS 上 构建 容错 系统 


1.3 ”如何 从 使 用 AWS 上 获 益 


使 用 AWS 最 重要 的 优势 是 什么 ? 你 可 能 会 说 是 节省 成 本 。 但 省 钱 
ee 
VF o 


1.3.1 创新 和 快速 发 展 的 平台 


2014 年 ，AWS 在 拉 斯 维 加 斯 举办 的 年 度 会 议 re:Invent 上 宣布 了 500 
多 项 新 的 服务 和 功能 。 除 此 之 外 ， 几 乎 AWS 每 周 都 会 有 新 功能 和 改进 


的 发 布 。 客 户 可 以 将 这 些 新 的 服务 和 功能 转化 为 针对 目 己 的 客户 的 创 
新 解决 方案 ， 从 而 体现 竞争 优势 。 


re:Invent 大 会 的 与 会 者 的 数量 从 2013 年 的 9 000 人 增加 到 2014 年 的 
13 500A ° Bl AWS 的 客户 中 有 eee eet NU, 16201445 
第 一 季度 的 业绩 沟通 会 上 ， 该 公司 表示 将 继续 聘请 更 多 的 人 才 谋 求 进 
一 步 的 发 展 。 负 在 未 来 几 年 里 ， nei 地 更 多 的 新 功能 和 新 服 


Z o 


[3] Greg Bensinger, “Amazon Conference Showcases Another Side of the Retailer’s Business,” 
Digits , Nov. 12, 2014. 


| a “Amazon.com’s Management Discusses Q1 2014 Results - Earnings Call Transcript,” Seeking 
Alpha, April 24, 2014. 


1.3.2 解决 常见 问题 的 服务 


如 我 们 所 了 解 的 ，AWS 是 一 个 服务 平台 。 常 见 的 问题 ， 如 负载 均 
衡 、 队 列 、 发 送 电 子 邮件 以 及 存储 文件 等 ， 都 可 以 通过 服务 加 以 解 
决 。 而 客户 不 需要 “重新 发 明 轮子 ”。 客户 的 工作 就 是 选择 合适 的 服务 
来 构建 复杂 的 系统 。 然 后 ， 客 户 可 以 让 AWS 来 管理 这 些 服 务 ， 而 自己 
则 可 以 专注 于 所 服务 的 客户 。 


133 ”启用 自动 化 


由 于 AWS 提 供 了 API， 因 此 客户 可 以 目 动 执行 所 有 的 操作 : 客户 
可 以 编写 代码 来 创建 网 络 ， 局 动 虚拟 服务 絮 集 群 或 部 署 天 系数 据 库 。 
目 动 化 提高 了 可 靠 性 ， 并 提高 了 效率 。 


系统 拥有 的 依赖 性 越 大 ， 它 就 会 变 得 更 复杂 。 面 对 复杂 的 图 形 ， 
人 类 可 能 很 快 王 失去 透视 能 力 ， 而 计算 机 可 以 应 付 任何 大 小 的 图 形 。 
Ware: 类 擅长 或 RAIER, 而 计算 机 
则 会 了 解 如 何 解决 所 有 这 些 依 赖 天 系 来 创建 系统 。 。 基于 客户 的 蓝图 在 


云 平台 上 设置 所 需 的 环境 可 以 通过 基础 设施 即 代码 以 目 动 化 的 方式 来 
完成 ， 关 于 这 部 分 内 容 将 在 第 4 章 介 绍 。 


13.4 ”灵活 的 容量 (可 扩展 性 ) 


灵活 的 容量 的 特性 可 以 使 客户 免 于 做 规划 。 客 户 可 以 从 一 合 服务 
and REIT OMA ae BAN EAE En LUN GBR APS BI PBA 
别 。 客 户 不 再 需要 预测 未 来 几 个 月 和 几 年 的 容量 需求 。 


如 有 果 你 经 营 一 家 网 店 ， 则 会 有 季 方 性 流量 的 模式 ， 如 图 1-6 所 示 。 
想 想 日 天 与 晚上 、 平 日 与 周末 或 假期 。 如 采 你 可 以 在 流量 增长 时 增加 
容量 并 在 流量 缩减 时 减少 容量 ， 那 忆 不 是 很 好 吗 ? 这 正 是 灵活 容量 的 
| o 
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图 1-6 ”网 店 的 季 证 性 流量 模式 


云 计 算 几 乎 没有 容量 的 限制 。 客 户 不 再 需要 考虑 机 染 空 间 、 交 换 
机 和 电源 供应 ， 客 户 可 以 添加 尽 可 能 多 的 服务 邵 。 如 采 数 据 量 增长 ， 
则 始终 可 以 添加 新 的 存储 容量 。 


灵活 的 容量 也 意味 着 客户 可 以 关闭 未 使 用 的 系统 。 在 我 们 最 近 的 


一 个 项 目 中 ， 测 试 环境 只 在 工作 日 从 上 午 7:00 到 下 午 8:00 运 行 ， 这 让 
我 们 的 成 本 节省 了 60%。 


13.5 ”为 失效 而 构建 (可靠 性 ) 


大 多 数 AWS 服 务 都 具有 容错 或 高 可 用 的 特性 。 如 果 客 户 使 用 这 些 
服务 ， 可 以 免费 获得 可 靠 性 。AWS 支 持 客户 以 可 靠 的 方式 构建 系统 ， 
它 为 客户 提供 了 创建 目 己 的 容错 系统 所 需 的 一 切 资 源 。 


1.3.6 ”缩短 上 市 的 时 间 


在 AWS 中 ， 客 户 请 求 一 个 新 的 虚拟 服务 器 。 几 分 钟 后 ， 该 虚拟 服 
务 器 将 被 局 动 并 可 以 使 用 。 同 样 的 情况 也 适用 于 任何 其 他 AWS 服 务 。 
客户 可 以 按 需 使 用 它们 。 这 使 客户 能 够 快速 地 将 目 己 的 基础 架构 调整 
以 满足 新 的 需求 。 


由 于 反馈 循环 更 短 ， 客 户 的 开发 过 程 将 更 快 。 客 户 可 以 消除 各 种 
限制 ， 如 可 用 的 测试 环境 数量 。 如 果 客 户 需 要 一 个 更 多 资源 的 测试 环 
境 ， 可 以 创建 并 运行 数 小 时 。 


1.3.7 ”从 规模 经 济 中 受益 


在 编写 此 书 时 ， 目 2008 年 以 来 使 用 AWS 的 费用 已 经 降 至 最 初 的 
1/42 ° 


。 在 2014 年 12 月 ， 出 站 数据 的 传输 费用 降低 了 439% 。 
。 在 2014 年 11 月 ， 使 用 搜索 服务 的 费用 降低 了 50%。 
© 在 2014 年 3 月 ， 使 用 虚拟 服务 器 的 费用 降低 了 40%。 


截至 2014 年 12 月 ，AWS 运 营 了 140 万 台 服 务 器 。 所 有 与 操作 有 关 
的 过 程 都 必须 进行 优化 ， 以 便 在 如 此 规模 上 运行 。AWS 规 模 越 大 ， 价 
格 就 会 越 低 。 癌 


| [5] 截至 2017 年 11 A, AWS 已 经 进行 了 62 次 降价 。 一 一 译 者 注 


1.3.8 ”全 球 化 


客户 可 以 将 应 用 程序 部 奢 到 尽 可 能 接近 目 己 的 客户 的 地 方 。AWS 


在 以 下 位 置 建 有 数据 中 心 : 


。 美国 〈 

。 欧洲 ( ; 
。 亚洲 (AA ` II) ; 
。 澳大利亚 

。 南美 


弗吉尼亚 北部 、 加 利 福 尼 亚 北部 、 俄 勒 内 ) ，; 
德国 、 爱 尔 兰 ) ; 


T: 
巴西 ) 。 
有 了 AWS， 客 户 就 可 以 在 全 球 运营 自己 的 业务 。 上 


| Sl 除 上 述 之 外 ，Aws 在 全 球 部 署 基础 设施 的 国家 和 地 区 还 包括 了 美国 (PRA) > FURL 
ŒX) 、 韩 国 〈 首 尔 ) 、 加 拿 大 、 欧 洲 (法 兰 克 福 、 伦 敦 、 巴 黎 ) 、 中 国 (北京 、 宁 夏 ) 


ets 
v 


等 。 一 一 译 者 注 


1.3.9 ”专业 的 合作 伙伴 


AWS 符 合 以 下 合 规 性 要 求 。 


ISO 27001 全 球 性 信息 安全 标准 ， 由 独立 机 构 认 证 。 
全 标准 。 
PCI DSS Level 1 一 一 支付 卡 行业 (PCI) 的 数据 安全 标准 
(DSS) ， 用 以 保护 持 卡 人 的 数据 安全 。 
全 球 范围 内 使 用 的 标准 化 质量 管理 方法 ， 并 由 独立 
和 认证 机 构 认证 。 


如 采 你 还 不 相信 AWS 是 专业 的 合作 伙伴 ， 那 么 你 应 当知 道 AWS 已 


经 承担 了 Airbnb、Amazon 、Intuit、NASA、Nasdaq、Netflix 和 
SoundCloud 等 重要 的 任务 。 


在 下 一 节 我 们 将 详细 阐述 成 本 效益 。 


1.4 费用 是 多 少 


AWS 的 账单 类 似 于 电费 账单 。 服 务 根据 用 量 收费 。 客 户 需要 文 付 
运行 虚拟 服务 器 的 时 间 、 从 对 象 存储 库 使 用 的 存储 空间 (以 GB 为 单 
fit) 或 正在 运行 的 负载 均衡 器 的 数量 。 服 务 按 月 开具 发 票 。 每 项 服务 
的 定价 是 公开 的 ， 如 果 要 计算 计划 中 每 月 的 成 本 ， 可 以 使 用 “AWS 们 
单 月 度 计 算 器 ”(AWS Simple Monthly Calculator) 来 估算 。 


1.4.1 免费 套餐 


在 注册 后 的 前 12 个 月 内 窗户 可 以 免费 使 用 一 些 AWS 服 务 。 免 费 套 
餐 的 目的 是 让 客户 能 够 对 AWS 进 行 实 验 并 获得 一 些 经 验 。 下 面 古 免费 
套餐 中 包含 的 内 容 。 


每 月 运行 Linux 或 者 Windows 小 型 虚拟 服务 絮 750 h (大 约 1 个 

A) 。 这 意味 着 客户 可 以 整个 月 运行 一 个 虚拟 服务 器 ， 也 可 以 同 
时 运行 750 个 虚拟 服务 器 1h 。 

每 月 750 h (KAISA) 的 负载 均衡 器 。 

具有 5 GB 存储 空间 的 对 象 存储 。 

具有 20 GB 存储 空间 的 小 型 数据 库 ， 包 括 备份 。 


如 琳 超 出 了 人 免费 套餐 的 限制 ， 就 要 开始 为 使 用 的 资源 支付 费用 ， 
而 不 再 另行 通知 。 客 户 将 在 月 确 收 到 一 张 账单 。 在 开始 使 用 AWS 之 
前 ， 我 们 将 同 读者 展示 如 何 监 控 成 本 。 如 采 免 费 套 餐 在 一 年 后 结束 ， 
读者 将 为 所 使 用 的 所 有 资源 付费 。 


客户 还 可 以 获得 一 些 额外 的 好 处 ， 详 情 参见 
http://aws.amazon.com/free。 本 书 尽 可 能 多 使 用 免费 套餐 的 资源 ， 并 清 
楚 地 说 明 何 时 需要 额外 的 不 在 免费 套餐 之 内 的 资源 。 


1.4.2 ”账单 样 例 


如 前 所 述 ， 客 户 可 能 会 被 以 下 儿 种 方式 计 费 。 


。 按 使 用 时 间 计 费 一 一 如 有 果 客 户 使 用 服务 右 的 时 间 是 61 min， 通 常 
会 计算 为 2hl71 o 


7] Aws M2017 年 10 月 2 日 起 以 按 需 、 预 留 和 竞价 形式 发 布 的 Linux 实例 的 使 用 将 按 1 s 的 增 
量 计 费 。 同 样 ，EBS 卷 的 预 置 存储 也 将 按 1s 的 增 量 计 费 。 译 者 注 


。 按 流量 计 费 一 一 流量 以 吉 字 节 (GB) 或 者 请 求 数 量 来 衡量 。 
。 按 存储 用 量 计 费 一 一 可 以 按照 配置 的 容量 (例如 ，50 GB 的 卷 ， 
不 管 使 用 了 多 少 ) 或 者 实际 用 量 (例如 ， 使 用 了 2 3 GB) 


还 记得 在 1.2 节 提 过 的 网 店 的 例子 吗 ? 图 1-7 展 示 了 这 家 网 店 使 用 
AWS 的 示意 图 ， 并 添加 了 有 关 各 个 部 分 的 计 费 信息 。 
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图 1-7 ”网 店 的 例子 


假设 你 的 网 店 在 1 月 开始 启动， 并且 你 决定 开展 营销 活动 以 提高 
个 月 的 销售 额 。 笠 和 运 的 是 ， 你 可 以 在 2 月 将 网 店 的 访问 人 数 增加 5 僧 。 
正如 你 所 了 解 的 ， 你 必须 根据 使 用 情况 文 付 AWS。 表 1-1 展 示 了 你 的 1 
月 和 2 月 的 账单 。 访 客人 数 从 10 万 人 增加 到 50 万 人 ， 月 收入 从 142.37 美 
元 增加 到 538.09 美 元 ， 涨 幅 是 3.7 倍 。 因 为 你 的 网 店 必 须 处 理 更 多 流 
量 ， 所 以 你 必须 为 更 多 的 服务 (如 CDN、Web 服 务 器 和 数据 库 ) 付 


BE o 其 他 服务 ， 如 静态 文件 的 存储 ， 因 为 没有 增加 更 多 的 用 量 ， 所 以 


价格 保持 不 变 。 


表 1-1 如果 网 店 访客 的 数量 增加 ，AWS 的 账单 将 如 何 变化 


ae 增加 ( 
a me fo fee 


2 600 万 条 请 求 ， 
25 GB 流 量 


争 态 文件 E50 GB 的 存储 | 使 


mae hma 


13 100 万 条 


M 113.31 


125 GB 流 量 


450 GB 的 存储 


负载 均衡 器 748 h+50 GB 流 量 |748 h+250 GB 流 量 | 20.30 


Web 服 务 器 1 台 服 务 器 =748 h |4 台 服务 器 =2 992 h | 204.96 153.72 


数据 库 (748 h) 


小 型 服务 器 +20 


大 型 服务 器 +20 
170.66 128.1 
GB 存储 k ce 
ea 
BI BRK 51 GB 255 GB 22.86 18.46 


prose 1 0007) owen 


M 客户 可 以 实现 流量 和 成 本 之 间 的 线性 关系 ， 而 其 他 机 
待 客 户 使 用 这 个 定价 模式 。 


1.4.3 fee RAL 


AWS 按 使 用 付费 的 定价 模式 创造 了 新 的 机 会 。 客 户 不 再 需要 对 基 
础 设施 进行 前 期 投资 。 客 户 可 以 根据 需要 启动 服务 上 囊 ， 并 且 只 文 付 每 
小 时 使 用 时 间 的 费用 ， 客 户 可 以 随时 停止 使 用 这 些 服务 器 ， 而 不 必 再 
为 此 付费 。 客 户 不 需要 对 目 己 将 使 用 多 少 存 储 进行 预 完 承 诺 。 


一 台大 型 服务 絮 的 成 本 大 致 与 两 个 较 小 的 服务 絮 之 和 相同 。 
此 ， 客 户 可 以 将 系统 分 成 几 个 较 小 的 部 分 ， 因 为 服务 器 成 本 是 相同 
的 。 这 种 容错 的 能 力 不 仅 适用 于 大 公司 ， 而 且 还 可 用 于 较 小 预算 的 场 


= 
IR o’ 


1.5 同类 对 比 
AWS 不 是 唯一 的 云 计算 提供 商 。 微 软 和 谷歌 也 有 云 计算 的 产品 。 


OpenStack 则 有 不 同 ， 因 为 它 是 开源 的 ， 由 包括 IBM、HP 和 
Rackspace 在 内 的 200 多 家 公司 共同 开发 。 这 些 公 司 中 的 每 一 家 都 使 用 
OpenStack 来 运行 目 己 的 云 计 算 产 品 ， 有 时 候 这 些 公 司 会 用 到 闭 源 的 附 
件 。 你 可 以 根据 OpenStack 来 运行 目 己 的 云 ， 但 是 将 失去 1.3 节 中 所 摘 
述 的 大 部 分 好 处 。 


在 云 计 算 供应 商 之 间 进 行 比 较 并 不 是 一 件 容易 的 事 ， 因 为 缺少 太 
多 的 开放 标准 。 像 虚拟 网 络 和 消 轧 队列 这 样 的 功能 实现 的 方式 差异 很 
大 。 如 采 客 户 知道 目 己 需要 什么 具体 功能 ， 可 以 比较 细 市 并 做 出 决 
rE; 否则 ，AWS 将 是 客户 最 好 的 选择 ， 因 为 在 找到 能 够 解决 目 己 的 问 
题 的 方法 中 ，AWS 的 机 会 是 最 高 的 。 


以 下 是 云 计 算 服 务 提 供 商 一 些 常 见 的 功能 : 
虚拟 服务 器 (Linux 和 Windows) ; 


。 对 象 存储 ; 
。 BH ae 


TERS CLE 
图 形 用 户 界 面 ; 


。 命令 行 接口 。 


更 有 趣 的 一 个 问题 是 ， 云 计算 服务 提供 商 有 何不 同 ? 表 1-2 比 较 了 
AWS ` Azure ` Google Cloud Platform 和 OpenStack。 


表 1-2 AWS ` Microsoft Azure ` Google Cloud Platform 和 OpenStack 的 不 同 


OpenStack 


有 (依赖 
OpenStack 
服务 提供 
者 ) 


公共 的 标准 公共 的 标准 


(ISO 27001 ` (ISO 27001 ` 


E (ISO 
FedRAMP FedRAMP 27001 ` HIPAA ` 


SOC) , IT SOC) , ISO 、 
Grundschutz ( 德 |27018 (abe RE 


=) 、G-Cloud | 私 ) 、G-Cloud 
(英国 ) (英国 ) 


有 《依赖 
Open Stack 
服务 提供 


者 ) 


Android ` Ñ bias 
(JavaScript) ` | Android ` iOS ` 
iOS ` Java > .NET È imas 浏览 器 
Java REM ARES (JavaScript) ».NET > 
Node.js (JavaScript) ` |prp . p ee 
(JavaScript) ` |PHP ` Python ` y 
PHP ` Python `œ | Ruby 
Ruby ` Go 


N aK, Googe Si 
生态 无 关 接 (如 Android) 
发 


有 (可 同时 被 多 
ee 


ig a 有 (Azure SQL 有 依赖 
ostgreSQ Data Base ` OpenStack 


Oracle Data , 5 sey 
Base ` Microsoft Meson 服务 提供 


SQL Server) Server) 


图 AWS Azure Google Cloud Platform | OpenStack 


| | 


在 我 看 来 ，AWS 是 目前 可 用 的 、 成 熟 的 云 计 算 平 台 。 
1.6 探索 AWS 服 务 


用 于 计算 、 和 存储 和 联网 的 硬件 是 AWS 云 计算 的 基础 。AWS 在 硬件 
上 运行 软件 服务 来 提供 云 服务 ， 如 图 1-8 所 示 。Web 界 面 、API 充 当 
AWS 服 务 和 应 用 程序 之 间 的 接口 。 


Z 


管理 服务 
管理 员 


计算 : 虚拟 服务 器 
应 用 : 队列 、 搜 索 
企业 : 目录 服务 、 邮 件 
PS: 访问 权限 、 监 控 
存储 : 对 象 存储 、 归 档 
数据 库 : 关系 数据 库 、NoSQL 
网 络 : DNS、 虚 拟 网 络 


图 1-8 AWS 云 由 可 通过 API 访 问 的 硬件 和 软件 服务 组 成 


客户 可 以 通过 图 形 用 户 界 面 、 使 用 SDK 以 编程 的 方式 手动 发 送 请 
求 至 API， 以 实现 对 服务 的 管理 。 为 此 ， 客 户 可 以 使 用 诸如 管理 控制 
台 、 基 于 Web 的 用 户 界面 或 命令 行 工具 等 工具 。 虚 拟 服 务 器 有 其 特殊 


A 


这 意味 着 客户 可 以 在 虚拟 服务 器 上 安装 所 需 的 任何 软件 。 其 他 服 
， 如 NoSQL 数 据 库 服务 则 是 通过 API 提 供 其 功能 ， 细 节 被 隐藏 到 幕 
° 图 1-9 展 示 了 管理 员 在 虚拟 服务 属 上 安 疤 定制 的 PHP Web 应 用 程 
， 并 管理 所 依赖 的 服务 ， 如 PHP Web 应 用 程序 使 用 的 NoSQL 数 据 


Ft HE ON R 


管理 员 


远程 安装 和 配置 软件 


S 0 


NoSQL 数 据 库 发 送 邮件 静态 文件 存储 


图 1-9 管理 运行 在 虚拟 服务 器 以 及 所 依赖 的 服务 上 的 定制 应 用 


用 户 将 HTTP 请 求 发 送 到 虚拟 服务 器 。 在 此 虚拟 服务 器 有 安装 Web 
服务 器 与 定制 的 PHP Web 应 用 程序 。Web 应 用 程序 需要 与 AWS 服 务 进 
行 通信 ， 以 便 响 应 用 户 的 HTTP 请 求 。 例 如 ，Web 应 用 程序 需要 从 
NoSQL 数 据 库 查询 数据 、 存 储 静 态 文件 和 发 送 电子 邮件 。Web 应 用 程 
序 和 AWS 服 务 之 间 的 通信 由 API 处 理 ， 如 图 1-10 所 示 。 


一 开始 ， 客 户 可 能 会 怀 讶 于 AWS 提 供 的 服务 的 数量 。 下 面 对 AWS 
服务 的 分 类 将 有 助 于 客户 找到 所 需要 的 服务 。 


。 计算 服务 提供 了 计算 能 力 以 及 内 存 。 客 户 可 以 启动 虚拟 服务 右 并 
使 用 它们 来 运行 应 用 程序 。 

。 应 用 服务 为 常见 的 使 用 场景 提供 解决 方案 ， 如 消 妃 队列 、 主 题 以 
及 检索 大 量 数据 以 集成 到 应 用 中 。 

。 企业 服务 提供 独立 的 解决 方案 ， 如 邮件 服务 器 和 目录 服务 。 


。 部署 和 管理 服务 作用 于 迄今 所 提 到 的 服务 。 这 个 服务 可 以 帮助 客 
尸 授 予 或 者 撤销 对 云 资 源 的 访问 、 虚 拟 服务 系统 的 监控 以 及 部 署 
应 用 程序 。 

。 存储 服务 被 用 来 搜集 、 保 存 和 归档 数据 。AWS 提 供 了 不 同 的 存储 
选项 : 对 象 存储 或 者 用 于 虚拟 服务 怖 的 网 络 附加 存储 方案 。 

。 当 需要 管理 结构 化 数据 时 ， 数 据 库 存储 比 其 他 存储 方案 有 一 些 优 
势 。AWS 提 供 了 关系 数据 库 和 NoSQL 数 据 库 服务 。 

。 网 络 服务 是 AWS 的 基本 组 成 部 分 。 客 户 可 以 定义 一 个 私有 的 网 络 
并 使 用 高 度 集成 的 DNS 服 务 。 


虚拟 服务 器 


eee g 


NoSQL 数 据 库 发 送 邮 件 静态 文件 存储 


图 1-10 ”定制 的 Web 应 用 使 用 AWS 服 务 来 处 理 HTTP 请 求 


要 知道 我 们 所 列 出 的 仅仅 是 最 重要 的 服务 的 类 别 。 其 他 服务 当然 
也 是 可 用 的 ， 同 样 可 以 支持 客户 运行 自己 的 应 用 程序 。 


"o a a 
交互 。 


1.7 与 AWS 交 互 


当 客 户 与 AWS 进 行 交 互 以 配置 或 者 使 用 AWS 服 务 的 时 候 ， 客 户 就 
会 调用 API。 这 里 提 到 的 API 是 AWS 的 入 口 ， 如 图 1-11 所 示 。 


接 下 来 ,我 将 给 读者 提供 调用 API 的 可 用 工具 的 全 有 狐 。 读 者 可 以 
比较 这 些 工 具 的 能 力 ， 它 们 可 以 帮助 你 目 动 完成 每 日 的 工作 。 


C) 


基于 Web 的 
管理 控制 台 


适用 于 Java、Python、 
JavaScript SDK 


fit 474% || 


白 动 


Al 


图 1-11 SAWS API 交 互 的 工 上 


1.71 管理 控制 台 


客户 可 以 使 用 基于 Web 的 管理 控制 台 实 现 与 AWS 的 交互 。 通 过 这 
个 方便 的 图 形 用 户 界 面 ， 客 户 可 以 手动 控制 AWS。 这 个 管理 控制 台 文 
持 每 一 种 现代 Web 浏 览 器 (Chrome ` Firefox ` Safari 5 以 上 版 本 、IE9 
以 上 版 本 ) ， 如 图 1-12 所 示 。 


| EC2 控制 面板 
事件 
标签 
报告 
限制 
实例 
AMAR 
预 留 实例 
计划 实例 
专用 主机 
AMI 
捆绑 任务 


4 
您 正在 使 用 以 下 美国 西部 (俄勒冈 ) 区 域 中 的 Amazon EC2 资源 : 
3 个 正在 运行 的 实例 


1 个 弹性 IP 


0 专用 主机 0 个 快照 

3 个 卷 0 个 负载 均衡 器 
2 个 密 钥 对 5 个 安全 组 

1 个 置 放 群 组 


C 账户 属性 © 


只 需 一 个 简单 的 虚拟 私有 服务 器 ?准备 好 快速 启动 项 目 所 需要 的 一 切 - 计算 、 存 储 
和 网 络 连接 - 实现 低廉 的 、 可 预测 的 价格 。 免 费 试 用 Amazon Lightsail。 


创建 实例 


要 开始 使 用 EC2， 您 需要 启动 一 个 被 称 为 Amazon EC2 实例 的 虚拟 服务 器 。 


注意 : 您 的 实例 将 在 美国 西部 (RMR) 区 域 中 启动 


服务 运行 状况 C 计划 的 事件 
服务 状态 : 美国 西部 (俄勒冈): 
o 美国 西部 (俄勒冈 ): 无 事件 

This service is operating normally 


可 用 区 状态 : 


图 1-12 ”管理 控制 台 


支持 的 平台 
VPC 


BRIA VPC 
none 


资源 ID 长 度 管理 


所 有 EC2 资源 
论坛 

定价 

联系 我 们 


AWS Marketplace 


Find free software trial 
products in the AWS 
Marketplace from the EC2 
Launch Wizard. Or try these 
popular AMIs: 


Barracuda NextGen Firewall F- 
Series - PAYG 


如 条 你 正在 莹 试 AWS， 那 么 这 个 管理 控制 台 束 是 最 好 的 起 点 。 它 
能 够 帮 你 获得 不 同 服务 的 全 貌 并 快速 取得 成 功 。 管 理 控制 台 也 十 为 了 


开发 、 测 试 而 设置 云 基础 设施 的 比较 好 的 方式 。 


命令 行 接口 


1.7.2 


客户 可 以 通过 命令 行 局 动 虚拟 服务 器 、 设 置 存储 并 且 发 送 邮 件 。 
使 用 这 个 命令 行 接口 (CLD) ， 可 以 控制 AWS 的 一 切 ， 如 图 1-13 所 


As? 


eee A michael 一 bash — 92x39 

Last login: Fri Feb 20 09:32:45 on ttys000 

mwittig:~ michael$ aws cloudwatch list-metrics --namespac "AWS/EC2" 
{ 


--max-items 3 


"Metrics": [ 
{ 


"Namespace": “AWS/EC2", 
"Dimensions": [ 


"Name": “InstancelId", 
"Value": “i-ed62dc0b" 
} 
, 
“MetricName": “StatusCheckFailed_Instance" 
"Namespace": “AWS/EC2", 
"Dimensions": [ 
"Name": “InstanceId", 
"Value": “i-ed62dcOb" 
} 
l, 
“MetricName": "StatusCheckFailed" 
"Namespace": "AWS/EC2", 
"Dimensions": [ 
it 
"Name": “InstancelId", 
"Value": "“i-@a02beec" 


} 


’ 
“MetricName": “CPUUtilization" 


, 
“NextToken": “None___3" 


mwittig:~ michaels 目 


图 1-13 ”命令 行 接口 


CLI 通 第 用 于 自动 执行 AWS 上 的 任务 。 如 采 客 户 想 通过 持续 集成 
服务 器 (如 Jenkins) 的 帮助 目 动 化 基础 设施 的 某 些 部 分 ， 则 CLI 有 是 该 
任务 的 正确 工具 。CLI 提 供 了 访问 API 的 便捷 方式 ， 并 可 以 将 对 API 的 
多 个 调用 整合 到 一 个 脚本 中 。 


客户 甚至 可 以 通过 将 多 个 CLI 调 用 链接 起 来 ， 以 实现 基础 设施 的 
自动 化 。CLI 可 用 于 Windows、Mac 和 Linux， 还 有 一 个 适用 于 
PowerShell 的 版 本 。 


1.7.3 SDK 


有 时 客户 需要 从 自己 的 应 用 程序 中 调用 AWS。 使 用 SDK， 客 户 可 
以 使 用 自己 喜欢 的 编程 语言 将 AWS 和 集成 到 应 用 程序 逻辑 中 。AWS 为 以 
下 环境 提供 了 SDK: 


e Android; 
e Node.js (JavaScript) ; 


|" E 


浏览 器 (JavaScript) ; 
PHP; 

iOS; 

Python; 

Java; 

Ruby; 

.NET; 

Gol8l 。 


前 也 有 C++ 的 SDK。 一 一 译 者 注 


SDK 通 常用 于 将 AWS 服 务 集成 到 应 用 程序 中 。 如 果 客户 正在 进行 


软件 开发 ， 并 项 望 集成 AWS 服 务 《如 NoSQL 数 据 库 或 推送 通知 服 


务 ) 


阅 ) 


， 那 么 SDK 就 是 该 任务 的 正确 选择 。 某 些 服务 (如 队列 和 主题 订 
必须 在 应 用 程序 中 使 用 SDK。 


1.7.4 ”蓝图 


说 明 


蓝图 是 包含 所 有 服务 和 依赖 天 系 的 对 于 系统 的 描述 。 蓝 图 并 没有 


实现 所 摘 述 的 系统 所 必需 的 步骤 或 顺序 。 图 1-14 展 示 了 如 何 将 蓝 
图 转移 到 正在 运行 的 系统 中 。 
& 一 
下 一 一 一 
we 
{ DNS CDN 
infrastructure: { | | 
loadbalancer: { 
server: {... } 
n es 工具 © | 
ce le 负载 均衡 器 静态 文件 
Stole ee 
Web 服 务 器 数据 库 
图 1-14 ”使 用 监 图 实现 基础 设施 自动 化 


WO FRR Ys Pe will FF BI AREAS, BY hes HER HE FF 
帮 你 目 动 化 云 中 基础 设施 的 配置 。 例 如 ,你 可 以 使 用 蓝图 来 设置 虚拟 
网 络 并 在 该 网 络 中 局 动 不 同 的 服务 器 。 

监 图 免除 了 客户 的 大 部 分 工作 人 负担 ， 因 为 客户 不 再 需要 担心 系统 
创建 期 间 的 依赖 关系 一 一 监 图 将 整个 流程 目 动 化 。 我 们 将 在 第 4 章 中 了 
解 有 关上 自动 化 基础 设施 的 更 多 信息 。 

现在 是 开始 创建 目 己 的 AWS 账 户 并 在 所 有 这 些 理论 之 后 探索 AWS 
实践 的 时 候 了 。 


1.8 创建 一 个 AWS 账 户 


在 开始 使 用 AWS 之 前 ， 客 户 需要 创建 一 个 账户 。 AWS 账 户 是 客户 
拥有 的 所 有 资源 的 一 个 篮子 。 如 果 多 个 人 需要 访问 该 账户 ， 客 户 可 以 
将 多 个 用 户 添 加 到 一 个 账户 下 面 。 默 认 情 况 下 ， 客 户 的 账户 将 有 一 个 
root 用 户 。 要 创建 一 个 账户 ， 客 户 需 要 提供 以 下 内 容 : 


。 一 个 电话 号 码 ， 以 验证 客户 的 映 份 ; 
。 一 张 信 用 卡 ， 以 文 付 客户 的 账单 。 


4 上 更 用 四 有 帐户 


在 使 用 本 书 中 的 示例 时 ， 读 者 可 以 使 用 现 有 的 AWS 账 户 。 在 这 种 情况 下 ， 使 用 可 能 不 
在 免费 套餐 的 范围 之 内 ， 可 能 需要 文 付费 用 。 


此 外 ， 如 果 读 者 在 2013 年 12 月 4 日 之 前 创建 了 现 有 的 AWS 账 户 ， 那 么 应 该 创建 一 个 全 
新 的 AWS 账 户 ， 否 则 在 尝试 运行 本 书 的 示例 时 可 能 会 遇 到 遗留 问题 的 麻烦 。 


1.8.1 注册 
注册 的 流程 包括 以 下 5 个 步骤 o 
(1) 提供 登录 凭据 。 
(2) 提供 联系 信息 。 


(3) Fee BHAT o 

(4) 验证 身份 。 

(5) 选择 支持 计划 。 

将 所 使 用 的 浏览 器 指向 AWS 官 方 网 站 ， 然 后 单 击 “ 创 建 免 费 账 
户 ” 按 钮 。 


1. 提供 登录 凭据 


注册 页 面 ， 为 客户 提供 了 两 个 选择 ， 如 图 1-15 所 示 。 客 户 可 以 使 
用 Amazon.com 账 户 创建 账户 ， 也 可 以 重新 开始 创建 账户 。 如 果 创 建新 
账户 ， 请 按照 下 面 的 步 又 ; 人 否则， 请 跳 到 第 5 步 。 


填写 电子 邮件 地 址 ， 点 击 “ 继 续 ”"， 创 建 登录 凭据 。 我 们 建议 选择 
一 个 强大 的 密码 来 防止 误 用 。 


我 们 建议 密码 的 长 度 为 16 字 市 ， 包 括 数字 和 符号 。 如 末 有 人 可 以 
人 


创建 Aws 账户 


AWS 账户 包含 
12 个 月 的 免费 套餐 访问 权限 。 
司 括 使 用 Amazon EC2. Amazon S3 和 Amazon DynamoDB 


SERRE, 


图 1-15 ”创立 一 个 AWS 账 号 : 注册 页 


2. 提供 联系 信息 


下 一 步 需 要 提供 联系 信息 ， 如 图 1-16 所 示 。 填 写 完 所 需 的 全 
容 ， 然 后 继续 下 一 步 。 


账户 类 型 @ 
@ 专业 级 OFA 
全 名 
yunjisuan 
公司 名 称 


yunjisusn company 


国家 /地 区 
中 国 


地 址 
No.10 Jiuxiangiso Road 


Chaoyang District 


城市 


Beijing 


J, 省 或 地 区 


Chaoyang 


邮政 编码 


100085 


2 v 中 此 框 表 示 您 已 阅读 并 同意 AWS 客户 协 
(2) [H has 


图 1-16 ”创建 一 个 AWS 账 户 : 提供 联系 信息 
3. 提供 支付 信息 的 细节 
现在 的 屏幕 显示 如 岁 1-17 所 示 ， 需 要 文 付 信息 。AWS 文 持 


部 内 


Maea A vital 如 霖 不想 以 美元 文 付 目 己 的 账单， 可 以 稍 
PRE Se Ra 这 里 文 持 的 货币 有 欧元 、 瑞 镑 、 瑞 士 法 即 、 


澳元 等 。 


+j» 人 
付 示人 信 A 
请 输入 您 的 付款 信息 ， 以 便 我 们 验证 您 的 身份 。 除 非 您 的 使 用 超出 了 AWS 免费 层次 限制 ， 
否则 我 们 不 会 收取 费用 。 请 查看 常见 问题 了 解 更 多 信息 。 


信用 卡号 / 惜 记 卡 号 


到 期 日 期 


11 


持 卡 人 姓名 


© 使 用 我 的 联系 人 地 址 
chaoyang district no.10 jiuqiaoqian road 
beijing haidian 100085 
CN 


使 用 新 地 址 


图 1-17 创建 一 个 AWS 账 户 : 提供 支付 信息 的 细 市 


4. 验证 身份 


接 下 来 就 是 验证 吴 份 。 图 1-18 展 示 了 这 个 流程 的 第 一 步 。 


当 完 成 这 个 部 分 以 后 ， 你 会 接 到 一 个 来 自 AWS 的 电话 呼叫 。 一 个 
机 絮 人 的 声音 会 询问 你 的 PIN 码 ， 这 个 PIN 码 将 会 如 图 1-19 所 示 显 示 在 
屏幕 上 。 身 份 被 验证 以 后 ， 就 可 以 继续 执行 最 后 一 步 。 


电话 验证 


AWS 将 立即 使 用 自动 系统 给 您 打 电 话 。 出 现 提 示 时 ， 从 手机 键盘 上 的 输入 AWS 网 站 出 现 
的 4 位 数字 。 


提供 电话 号 码 
i aS a RPE IR 
fle 


国家 /地 区 代码 


+E (+86) v 


图 1-18 创建 一 个 AWS 账 户 ， 身份 验证 (1/2) 


正在 呼叫 ... 


请 回答 来 自 AWS 的 电话 ， 并 在 出 现 提示 时 在 手机 键盘 上 输入 4 
位 数字 。 


20058 


图 1-19 创建 一 个 AWS 账 户 : 身份 验证 (2/2) 


5. 选择 支持 计划 


最 后 一 步 束 是 选择 文 持 计划 ， 如 图 1-20 所 示 。 在 这 种 情况 下 ， 请 
选择 免费 的 “基本 方案 ”。 如 有 果 你 以 后 为 目 己 的 业务 创建 一 个 AWS 账 


户 ， 我 们 建议 你 选择 AWS 的 “业务 方案 ”。 你 甚至 可 以 以 后 切换 文 持 计 


划 。 


选择 支持 计划 


A Hae a oe 可 满足 您 的 需求 。 请 选择 一 个 最 符合 您 的 AWS 使 用 情况 的 支持 
计划 


需要 企业 级 支持 ? 


ns 请 联系 你 各 
i Tees 


图 1-20 ”创建 一 个 AWS 账 户 : 选择 支持 计划 


现在 你 已 经 完成 了 全 部 的 步 台 ， 可 以 使 用 AWS 管 理 控制 台 登 录 到 
目 己 的 账户 了 。 


1.8.2 ”登录 


你 现在 已 经 有 了 一 个 AWS 账 户 ， 可 以 登录 AWS 管 理 控制 台 。 如 前 
所 述 ， 管 理 控 制 台 是 一 个 基于 Web 的 工具 ， 可 用 于 控制 AWS 资 源 。 

管理 控制 台 使 用 AWS API 来 实现 客户 需要 的 大 部 分 功能 。 图 1-21 
展示 了 登录 页 面 。 

输入 你 的 登录 凭据 ， 然 后 点 击 * 下 一 步 ”， 就 可 以 看 到 图 1-22 所 示 
的 管理 控制 台 。 


登录 


您 的 AWS 账户 的 电子 邮件 地 址 


要 作为 AM 用 户 登 录 ， 请 输入 您 的 


户 别 | 名 


账 


图 1-21 


登录 到 管理 控制 


Baws WeR 台 x 


€ C | à Secure https://console.aws.amazon.com/console/home?region=us-oast-1 


aws 


CloudFormation 


Ec2 
Ughtsall [7 

Elastic Contalner Service 
Lambda 

Batch 

Elastic Beanstalk 


EFS 
Glacier 
Storage Gateway 


5 see 
RDS 
Dynamode 
ElastiCache 
Amazon Redshift 


Q ms 
AWS Migration Hub 
Application Discovery Service 
Database Migration Service 
‘Server Migration Service 
Snowball 


mM 2 


l 


也 


g 


VPC 


THIRA 
CloudWatch 
CloudFormation 
CloudTrall 

Contig 

OpsWorks 
Service Catalog 
‘Systems Manager 


ORS 

Elastic Transcoder 
MediaConvert 
MediaLive 
MediaPackage 
MediaStore 
MediaTailor 


机 器 学 习 

Amazon SageMaxer 
‘Amazon Comprehend 
AWS DeepLens 
Amazon Lex 
Machine Leaming 
Amazon Polly 
Rekognition 

Amazon Transcribe 


转 


|s 


Route 53 


移动 服务 
Mobile Hub 
Pinaoint 


AWS AppSyne 
Device Farm 
Mobile Analytics 


AR 和 VR 
Amazon Sumerian C? 


应 用 程序 集成 

‘Step Functions 

Amazon MQ 

‘Simple Notification Service 
‘Simple Queue Service 
SWF 


署 户 参 与 
‘Amazon Connect 
‘Simple Email Service 


企业 生产 力 

Alexa for Business 
Amazon Chima Z 
WorkDocs 
WiorkMall 


文 OAV0G 


anghang @ tianghang ~ 


Sawa ts 
RUTF ONTOS, 立即 
Fit 


CURSE 
(REL AWS Organizations 对 多 个 AWS 账户 进行 
FRENE, TEFA 


TAE AWS 


Amazon Relational Database Service (RDS) 


RDS AERUS AMEE, ADS 支持 Aurora 
MySQL, PostgreSQL, MariaDa, Oracle & SOL Server, 
TOES C 


使 出 Amazon Kinesis 实时 分 村 


ANSE, UMN, 
HES 四 


在 AWS | THEA 
Amazon ECSFFSDEMREADY MRT ETA Mi AARNE 
2. TRESI? 


AWS Markalplace 


发 现 、 ROR AWS 上 运行 的 苞 六 软件 产 霹 。 
THES It 


SRA? 


BERMEN, SVB AWS WEOHHHWMR. 


选择 支持 计划 


A acer serra 可 满足 您 的 需求 。 请 选择 一 个 最 符合 您 的 AWS 使 用 情况 的 支持 
计划 。 了解 


图 1-22 ” AWS 管理 控制 台 


在 这 个 页 面 中 最 重要 的 部 分 是 顶部 的 导航 栏 ， 如 图 1-23 所 示 。 它 
由 以 下 6 个 部 分 组 成 。 


。 AWS 一 一 提供 一 个 账户 中 全 部 资源 的 快速 概览 。 

。 服 务 一 一 提供 访问 全 部 的 AWS 服 务 。 

。 目 定义 部 分 一 一 点击 “编辑 "并 拖 放 重要 的 AWS 服 务 到 这 里 ， 实 现 
不 


个 性 化 的 导航 栏 。 

。 客户 的 名 字 一 一 让 客户 可 以 访问 账单 信息 以 及 账户 ， 还 可 以 让 客 

oe : 
TIE" 


E TE ET © 
。 支 持 一 “让 客户 可 以 访问 论坛 、 文 档 、 培 训 以 及 其 他 资源 。 


CloudFormation E *% A lianghong @lianghong ~ AWB ~ 支持 ~ 
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资源 概览 跳 转 到 服务 快速 访问 服务 (可 定制 ) 账户 和 账单 区 域 选择 ”帮助 区 


图 1-23 ” AWS 管理 控制 台 导 航 栏 
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1.8.3 创建 一 个 密 钥 对 


要 访问 AWS 中 的 虚拟 服务 右 ， 客 户 需 要 一 个 由 私 钥 和 公 钥 组 成 的 
密 钥 对 。 公 和 角 将 上 传 到 AWS 并 配置 到 虚拟 服务 器 中 ， 而 私 钥 是 客户 私 
有 的 。 这 有 护 儿 类 似 于 密码 ， 但 更 安全 。 一 定 要 保护 好 目 己 的 私 钥 ， 
它 束 像 是 密码 一 样 。 这 是 私有 的 ， 所 以 不 要 和 弄 丢 它 。 一 旦 丢失 ， 束 无 
法 重新 获得 。 

要 访问 Linux 服 务 器 ， 请 使 用 SSH 协 议 。 客 户 将 在 登录 时 通过 密 钥 
对 而 不 是 密码 进行 映 份 验 证 。 如 果 客 户 需 要 通过 远程 吕 面 协议 

(RDP) 来 访问 Windows 服 务 器 ， 客 户 也 需要 使 用 密 钥 对 才能 解密 管 
理 员 密 码 ， 然 后 才能 登录 。 


以 下 步 又 将 引导 客户 进入 提供 虚拟 服务 占 的 EC2 服 务 的 仪表 板 ， 
在 那里 客户 可 以 获取 密 钥 对 。 


(1) 在 https://console.aws.amazon.com 上 打开 AWS 管 理 控制 台 。 
(2) 点 击 导 航 栏 中 的 “服务 ?， 找 到 “EC2 服 务 * 并 点 击 它 。 
(3) 客户 的 浏览 器 将 显示 EC2 管 理 控制 台 。 

如 图 1-24 所 示 ，EC2 管 理 控 制 台 被 分 成 3 列 。 第 一 列 是 EC2 导 航 


栏 ， 因 为 EC2 是 最 慎 的 服务 ， 所 以 它 具 有 许多 可 以 通过 导航 栏 可 以 访 
PED Re: 第 二 列 简要 介绍 了 所 有 的 EC2 资 源 ; 第 三 列 提 供 了 附加 信 
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图 1-24 EC2 管 理 控制 台 
以 下 步 又 可 以 用 来 创建 一 个 新 的 密 钥 对 。 
(1) 在 “网 络 与 安全 "下 的 导航 栏 中 点 击 “ 密 钥 对 ”。 
(2) 点 击 图 1-25 所 示 的 页 面 上 的 “创建 密 钥 对 ”按钮 。 


(3) 将 密 钥 对 命名 为 mykey 。 如 果 客 户 选择 了 其 他 名 字 ， 则 必 
须 在 后 续 的 所 有 示例 中 替换 密 钥 对 的 名 字 ! 


在 密 钥 对 创建 期 间 ， 客 户 要 下 载 一 个 名 为 mykey.pem 的 文件 。 你 
现在 必须 准备 好 该 密 钥 对 以 备 将 来 使 用 。 根 据 所 使 用 的 操作 系统 ， 你 
可 能 需要 采取 不 同 的 操作 。 因 此 需要 阅读 对 应 的 操作 系统 的 部 分 。 


Cd “er TT 


| 按 属性 午 选 ， 或 者 按 关键 字 提 案 @ 未 找到 


z 您 在 本 区 域 中 没有 任何 密 铀 对 。 
安全 组 单 击 "Create Key Pair 创建 密 钼 对 )" 按 钮 可 创建 您 的 第 一 个 密 钥 对 。 


IP 
Placement Groups 创建 密 钥 对 


启动 配置 选择 一 个 密 钥 对 BEA 


制 台 上 的 密 钥 对 


$ 
ES 


图 1-25 ”EC2 管 理 


读者 也 可 以 将 现 有 的 密 铀 的 公 钥 上 传 到 AWS。 这 样 做 有 以 下 两 个 优点 。 
。 可 以 复 用 现 有 的 密 钥 对 。 


。 可 以 确定 只 有 自己 知道 密 钥 对 的 私 钥 部 分 ， 如 有 果 使 用 “创建 密 钥 对 ”按钮 ， 你 可 能 担 
心 AWS 知 道 (至 少 暂 时 的 ) 自己 的 私 钥 。 


我 们 决定 在 本 书 中 不 采用 这 个 做 法 ， 因 为 在 一 本 书 里 面 用 这 种 做 法 会 有 一 些 不 方便 的 


1. Linux 与 Mac OS X 


客户 现在 唯一 需要 做 的 是 更 改 mykeypem 的 访问 权限 ， 以 便 只 有 
目 己 可 以 读 取 该 文件 。 为 此 ， 请 在 入 端 中 运行 命令 chmod 400 
mykey .pem 。 当 读者 需要 在 本 书 中 首次 登录 虚拟 服务 絮 时 ， 将 会 
解 如 何 使 用 密 钥 。 


2. Windows 


Windows 提供 SSH 客 户 端 ， 因 此 客户 需要 下 载 适 用 于 Windows 的 
PuTTY 安 装 程序 ， 然 后 安装 PuTTY。PuTTY 提 供 了 一 个 名 为 PuTTYgen 


的 工具 ， 可 以 将 mykeypem 文 件 转换 为 mykeyppk 文 件 ， 客 户 需要 按照 
以 下 步骤 操作 。 


(1) 需要 运行 应 用 程序 PuTTYgen， 界 面 如 图 1-26 所 示 。 


(2) 在 “Type of key to generate”( 要 生成 的 密 钥 类 型 ) 下 选 
择 “SSH-2 RSA”。 


(3) Ait “Load” (加 载 ) ° 


(4) 因为 PuTTYgen 仅 显示 *.pkk 文 件 ， 需 要 将 “文件 名 "字段 的 文 
件 扩展 名 切换 到 “所 有 文件 ”。 


(5) 选择 mykey.pem 文 件 ， 然 后 点 击 *“Open” (打开 ) 。 
(6) 确认 对 话 框 。 
(7) 将 “Key comment" 改 成 mykey ° 


(8) 点 击 “Save private key” ° 在 没有 密码 的 情况 下 ， 名 上 略 关 于 保 
存 密 钥 的 警告 。 


ite PuTTY Key Generator e 


File Key Conversions Help 


Key 

Public key for pasting into OpenSSH authorized _keys file: 

sshtsa a 

AAAAB3INzaC lyc2EAAAADAQABAAABAQCEpsXmZ50D/Q4AMcSOwRSCKSc Rp [=] 
+a Ni/yoYgLWCMz7laf8Qu2U 1YH/wlsz0pLGjZEdváLrX%047p0hT 1Vu960HzN6mtHz (= 

aYeb3nW 1v8LGYE 

+qazOtBkZAYWMKX6KvnmCK&P 1SigzSsSJLBqJkq4md48Pqezya90Lp53jZBpT6HQe = 


Key fingerprint: sshtsa 2048 d9:e7:b7:61:a4: 7a:cc:ae:70:51:20:0e:a4:e 7:83 be 
Key comment: mykey 
Key passphrase: 
Confirm passphrase: 
Actions 
Generate a public/private key pair 
Lod an aising private key fie 
Save the generated key | Save public key | | Save private key 
Parameters 
Type of key to generate: 
© SSH-1 (RSA) @ SSH-2 RSA © SSH-2 DSA 
Number of bits in a generated key: 2048 


图 1-26 ”PuTTYgen 人 允许 将 下 载 的 pem 文 件 转换 成 PuTTY 需 要 的 .pkk 文 件 


.pem 文 件 现在 已 转换 为 PuTTY 所 需 的 .pkk 格 式 。 当 需要 在 本 书 中 
目次 登录 虚拟 服务 器 时 ， 我 们 会 学 习 如 何 使 用 密 钥 。 


1.8.4 ”创建 计 费 告警 


在 开始 使 用 AWS 账 尸 之 前 ， 我 们 建议 读者 创建 一 个 计 费 告警 。 如 
果 超 过 人 免费 套 罗 的 人 额度， 读者 会 收 到 告警 邮件 。 本 书 中 的 示例 如 末 超 
出 了 免费 套餐 的 范围 会 给 出 一 个 提醒 。 为 了 确 人 在 清理 过 程 中 没有 路 
漏 任 何 内 容 ， 读 者 要 按照 AWS 建 议 创建 一 个 计 费 告警 。 


1.9 小 结 


e Amazon Web Services (AWS) 是 一 个 Web 服 务 平台 ， 为 计算 、 存 
储 和 连 网 提供 解决 方案 。 


。 节约 成 本 并 非 使 用 AWS 的 唯一 好 处 ， 客 户 还 将 从 灵活 的 容量 、 容 
戎 服务 和 全 球 基础 设施 的 创新 以 及 快速 发 展 的 平台 中 受益 。 

。 无论 是 应 用 广泛 的 Web 应 用 ， 还 是 具有 高 级 网 络 设 置 的 专业 的 企 
业 级 应 用 ， 任 何 使 用 场景 都 可 以 在 AWS 上 实现 。 

。 可 以 用 许多 不 同 的 方式 与 AWS 交 互 。 可 以 使 用 基于 Web 的 图 形 用 
户 界面 (GUI) 来 控制 不 同 的 服务 ， 使 用 程序 代码 从 命令 行 或 者 
SDK 中 以 编程 的 方式 管理 AWS， 或 者 使 用 蓝图 在 AWS 上 设置 、 修 
改 或 删除 AWS 上 的 基础 设施 。 

。 按 使 用 付费 是 AWS 服 务 的 定价 模式 。 计 算 能 力 、 存 储 和 网 络 服务 
的 收费 类 似 于 电力 。 

。 创建 一 个 AWS 账 户 很 容易 。 现 在 我 们 已 经 了 解 了 如 何 设 置 密 铀 
对 ， 可 以 登录 到 虚拟 服务 器 ， 供 以 后 使 用 。 


第 2 章 一 个 简单 示例 : 5 分 钟 搭 建 
WordPress 站 点 


本 章 主要 内 容 


。 创建 一 个 博客 站 点 的 基础 设施 以 构 
。 分 析 博 客站 点 基础 设施 架构 的 成 本 
。 探索 一 个 博客 站 点 的 基础 设施 以 构 
。 关闭 博客 站 点 的 基础 设施 


在 第 1 章 中 ， 我 们 了 解 了 为 什么 AWS 是 运行 Web 应 用 的 绝 佳 选择 。 
在 本 章 中 ， 我 们 评估 将 一 个 博客 站 点 的 基础 设施 架构 从 假想 公司 的 服 
务 器 迁移 至 AWS ° 


EERDE 示例 都 包含 在 免费 套餐 中 。 只 要 不 是 运行 这 些 示 例 好 儿 天 ， 就 不 oe 
付 任何 费用 。 记 住 ， 这 仅 适用 于 读者 为 学 习 本 书 刚刚 创建 的 全 新 AWS 账 户 ， 并 且 在 这 


AWs 账 户 里 没有 其 他 活动 。 尽 量 在 几 天 的 时 间 里 完成 本 章 中 的 示例 |， 在 每 个 示例 这 成 后 务 
必 清 理 账户 。 


你 假想 的 公司 目前 在 目 己 的 服务 右上 使 用 WordPress 来 承载 超过 
1000 篇 博客 内 容 。 由 于 用 户 不 能 妨 受 服务 中 断 ， 博 客站 点 的 基础 架构 
ee o J SPA MER EG aT, Ae RCRA E 
T o 


。 建立 一 个 具有 高 可 用 特性 的 博客 站 点 的 基础 设施 。 
。 评估 基础 设施 每 月 的 成 本 。 


WordPress 用 PHP 编 写 ， 使 用 MySQL 数 据 库 存储 数据 ， 由 Apache 作 


为 Web 服 务 器 来 展现 页 面 。 根 据 这 些 信息 ， 现 在 把 你 的 需求 映射 到 
AWS 服 务 之 上 。 


2.1 创建 基础 设施 


可 以 使 用 4 种 不 同 的 AWS 服 务 把 旧 的 基础 设施 复制 到 AWS 。 


。 弹性 人 负载 均衡 (Elastic Load Balancing, ELB) 一 一 AWS 提 供 的 
弹性 人 负载 均衡 服务 。ELB 将 流量 分 发 到 它 后 面 的 一 组 服务 器 上 ， 
并 且 它 自身 默认 就 是 高 可 用 的 。 

弹性 计算 云 (Elastic Compute Cloud, EC2) EC2 服 务 提 供 的 
虚拟 服务 器 。 你 将 使 用 一 个 Linux 服 务 器 来 安装 Apache、PHP 和 
WordPress。 这 个 例子 选用 的 服务 怖 的 操作 系统 Amazon Linux, — 
个 针对 云 计算 优化 过 的 Linux 发 行 版 。 你 也 可 以 选择 Ubuntu、 
Debian ` Red Hat 或 者 Windows 等 。 因 为 虚拟 服务 器 有 可 能 会 宕 
机 ， 因 此 你 需要 部 署 至 少 两 台 ， 并 通过 ELB 分 发 流量 。 一 旦 一 台 
服务 器 宕 机 ，ELB 将 会 停止 给 宕 机 的 服务 器 发 送 流量 。 在 宕 机 的 
eee ， 余 下 的 一 台 服 务 器 将 要 承担 全 部 的 访问 请 


适用 于 MySQL 的 关系 数据 库 服 务 (Relational Database Service for 
MySQL) WordPress 基 于 流行 的 MySQL 数 据 库 。 而 AWS 的 关 
系数 据 库 服 务 (Relational Database Service, RDS) 提供 了 对 
MySQL 的 支持 。 你 在 选择 了 数据 库 的 规格 (FR ` CPU ` RAM) 
以 后 ，RDS 会 负责 其 余 的 工作 (备份 、 升 级 ) 。 并 且 ，RDS 也 可 
以 通过 数据 复制 实现 MySQL 的 高 可 用 。 

安全 组 (Security group) 一 一 安全 组 类 似 于 防火 墙 ， 是 AWS 控 制 
网 络 流量 的 一 项 基本 服务 。 安 全 组 这 项 服务 能 够 附加 到 ELB、 
EC2、RDS 等 服务 上 。 通 过 设置 和 附加 安全 组 ，ELB 可 以 只 接受 
对 80 端 口 访问 的 互联 网 流量 ，Web 服 务 器 只 接受 来 目 ELB 对 服务 
器 80 端 口 的 访问 请 求 ， 而 MySQL 数 据 库 则 只 接受 来 自 Web 服 务 颖 
对 于 3306 端 口 的 连接 。 如 果 想 通过 SSH 直 接 登 录 Web 服 务 右 ， 那 
么 需要 打开 22 端 口 。 


图 2-1 展 示 了 需要 部 署 的 全 部 基础 设施 。 看 起 来 有 不 少 工 作 要 做 ， 
让 我 们 开始 吧 ! 


安全 组 作 可 以 看 作 是 虚拟 防火 墙 。 


AWS 负 责 保护 你 的 系统 免 受 恶 意 
流量 的 影响 6D 
W- N 
P worpress MySQL 
分 配 流 基 到 为 了 性 能 
防火 墙 Web 服 务 器 隔离 数据 库 防火 墙 
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负载 均衡 器 Webi 3-43 数据 库 
ELB 是 一 种 托管 负载 EC2 是 提供 虚拟 服务 器 RDS 是 提供 托管 MySQL 数 据 库 
均衡 的 SaaS 服 务 。 《Linux 和 Windows) 的 ”的 SaaS 服 务 。AWS 负 责备 份 、 
该 服务 是 容错 的 laaS 服 务 。 用 户 可 以 安 更 新 和 复制 

装 任 何 自己 需要 的 软件 


图 2-1 该 公司 的 博客 网 站 的 基础 设施 包括 两 台 人 负载 均衡 的 Web 服 务 器 运行 了 WordPress 和 一 台 
MySQL 数 据 库 服务 器 


如 采 你 以 为 搭建 步骤 会 有 很 多 页 ， 那 么 你 现在 可 以 高 兴 一 个 了 。 
因为 创建 所 有 基础 膝 构 仅 需 在 儿 形 界面 上 完成 一 些 点 击 操作 ， 然 后 后 
台 束 会 目 动 完成 下 列 任 务 。 


(1) 创建 一 个 ELB 。 

(2) 创建 一 个 应 用 MySQL 数 据 库 的 RDS ° 
(3) 创建 并 附加 上 安全 组 。 

(4) 创建 两 个 Web 服务 器 : 


创建 两 个 EC2 虚 拟 服务 器 ; 

安装 Apache 和 PHP， 使 用 的 安装 命令 为 yum install php, 
php-mysql, mysql, httpd; 

下 载 并 解压 最 新 版 本 的 WordPress; 

使 用 已 创建 的 RDS MySQL 数 据 库 来 配置 WordPress; 

启动 Apache Web 服 务 器 。 


为 了 创建 博客 站 点 的 基础 设施 ， 要 打开 AWS 管 理 控制 台 并 登录 。 
点 击 导 航 栏 中 的 “服务 ?， 然 后 点 击 “CloudFormation” 服 务 ， 将 看 到 图 2- 
2 所 示 的 界面 。 


点 击 从 蓝图 创建 一 个 
新 的 基础 设施 重新 加 载 页 面 


| 


é > C Secure htios//consolaaws amazoncomicoudiormatonhome?rogion-us-sast-1#;stacks?filtor-activa 


c o 


FERRON 


enit 


ARORA ion #: seein rtp ar laminin eprint 我 们 提供 多 种 示 dp AM WordPress 或 
|, PACMAN, DLLME NED ease, hey eT 


资 举 攻 没有 堆栈 。 选 怪 下 方 的 创建 条 堆 杆 ， 创 圳 新 AWS CloudFormation HA, 


创建 堆栈 人 
TEEF AWS CioudFarmeton dt- Am, TETAI —I ANS ClouoFormation Sf, F AWS 峰 户 和 区 式 现 阳 道 者 
he 


设计 一 个 模板 你 目前 还 没有 从 蓝图 中 


元 板 将 告知 AWS CloudFormasion PRRINPS AWS ARDS MITRE. TAMA If CloudFormation 卉 术 时 ， 您 尖 澳 报 交 一 个 模块 。 创建 基础 设施 


要 改建 和 查看 模板 ， 您 可 以 使 用 名 为 AWS CloudFormation Designer HARIR, MAREEK, AARNE 
FARER, DER Designer REIMAN, LEI RA. 


lag 


利用 您 的 现 有 资源 创建 模板 


如 末 您 已 经 在 运行 AWS 音速 ，CloudFormer LR F/O HIN ARMA, GI ee Sa Lie, 


为 此， 单 击 "请 动 ClcudFormer'， 刘 建造 行 CloudFormer TAH A) udFormation 准 杰 ， 完 成 培土 创建 后， 导 甘 到 "输出 ' 渤 项 卡 上 的 
CloudFonme URL, 


图 2-2 ”CloudFormation 屏 幕 界 面 


本 书 中 的 所 有 示例 均 使 用 弗吉尼亚 北部 〈(N.Virginia， 也 称 为 us-east-1) 作为 默认 区 
域 ， 如 果 没 有 额外 的 声明 即使 用 该 默认 区 域 。 在 开始 工作 之 前 ， 要 确保 所 选区 域 是 弗 吉 尼 
亚 北 部 。 在 AWS 管 理 控 制 台 的 主导 航 栏 右 侧 ， 可 以 确认 或 更 换 当 前 区 域 。 


扩 击 “创建 堆栈 ”局 动 开始 同 导 ， 共 有 4 个 步 又 ， 如 图 2-3 所 示 。 


4 步 中 的 第 1 步 


ana 
a se 
VS 
udo 
SHE 
| eR 选择 模板 
推定 
rd AEMT RRA. EERE: Sg BR. 
PR 
it— Mat AWS Cl mation Designer SOLED n 
设计 模板 


AE 模板 十 JSON/YAML HERRER, CRRA RTRH Rt, THES. 
© me e 


weit feel n S3 


在 这 里 可 以 选择 基础 设施 的 蓝图 。 可 以 选择 一 个 样本 、 
上 传 或 提供 URL。 插 入 CloudFormation 模 板 的 URL 


图 2-3 ”创建 一 个 博客 站 点 的 基础 设施 : 第 1 步 


在 “选择 一 个 模板 ”中 选择 “指定 Amazon S3 模 板 URL”， 并 且 输 入 
https://s3.amazonaws.com/ awsinaction/chapter2/template.json ° 然后 点 
击 “ 指 定 详细 信息 ”， 将 堆栈 名 称 设置 为 wordpress， 将 KeyName 设 置 为 
mykey ， 如 图 2-4 所 示 。 


B thesia x 
ML Sauro h m jcluvdlormėlionjhome?ragiorn-us-gast- W/stacksinuw AEF LEE ELE 


指定 详细 信息 


AERA MASAU, HOLME AWS CloudFormalion APE LORCA, THES. 
SES wordpress 


参数 


4 步 中 的 第 2 步 指定 我 们 在 第 1 章 建立 的 键 对 


图 2-4 创建 一 个 博客 站 点 的 基础 设施 : 第 2 步 


点 击 * 下 一 步 *， 为 基础 设施 打上 标签 (tag) 。 标 签 是 由 一 个 键 值 
对 组 成 ， 并 且 可 以 添加 到 基础 设施 的 所 有 组 件 上 。 通过 使 用 标签 ， 可 
以 区 分 测试 和 生产 资源， 也 可 以 添加 部 门 名 称 以 追踪 各 部 门 成 本 ， 还 
可 以 在 一 个 AWS 账 号 下 运行 多 个 应 用 时 为 应 用 标记 所 关联 的 资源 。 


WordPress‘ FA MyYSQL 数 据 这 存储 文章 和 用 户 数据 。 但 在 默认 设置 下 ， p 
传 的 媒体 文件 和 插件 在 一 个 名 为 wp-content 的 本 地 文件 目录 下 ， 所 以 服务 状 

态 的 。 如 果 要 使 用 多 台 ， 就 需要 每 个 请 求 可 以 被 任何 一 个 服务 器 处 理 ， 但 是 
CORANA REER ARAR, 所 以 默认 配置 并 不 支持 多 台 服 务 器 的 部 署 方 


式 。 


因为 没有 解决 上 述 问 题 ， 所 以 本 章 中 的 示例 还 不 够 完整 。 如 果 读 者 有 兴趣 了 解 进一步 
的 解决 方案 ， 参 见 第 14 章 。 第 14 章 将 介绍 如 何在 启用 虚拟 机 时 自动 安装 WordPress 插 件 ， 以 
及 上 传 的 媒体 文件 是 如 何 集中 保存 到 对 象 存储 中 的 。 


在 这 个 示例 中 ， 我 们 将 使 用 标签 来 标记 WordPress 系 统 的 资源 ， 这 
将 有 助 于 你 以 后 轻松 地 找到 目 己 的 基础 架构 。 使 用 System 作为 键 ， 
wordpress 作为 值 。 图 2-5 展 示 了 标签 的 配置 方法 。 


RNAI, FES 


\ 
使 用 标签 来 识别 基础 设施 一 个 标签 由 一 个 键 值 对 组 成 
4 步 中 的 第 3 步 


图 2-5 ”创建 一 个 博客 站 点 的 基础 设施 : 第 3 步 


点 击 “ 审 核 "， 最 后 将 看 到 一 个 确认 页 面 ， 如 图 2-6 所 示 。 在 “估算 
费用 ”一 栏 中 ， 点 击 “ 费 用 ”将 在 后 台 打 开 一 个 新 标签 页 ， 我 们 将 在 下 一 
节 处 理 其 中 的 内 容 。 切 换 至 原先 的 浏览 大 标 签 页 ， 点 击 “ 创 建 ”。 


基础 架构 现在 将 被 创建 。 如 图 2-7 所 示 ， 名 为 wordpress 的 堆栈 
正 处 于 CREATE_IN_PROGRESS 状态 。 现 在 可 以 休息 5~15 min, PÆ 
之 后 就 会 有 惊喜 。 


本 书 的 wordpress 
4 步 中 的 第 4 步 蓝图 的 URL 


ny ERR o 创建 堆栈 


system wordpress 


打开 一 个 新 的 浏览 器 选项 卡 ， 使 
用 简单 的 月 度 计 算 器 估算 费用 


使 用 标签 来 标识 指定 在 第 1 章 中 
你 的 基础 设施 建立 的 键 对 


图 2-6 创建 一 个 博客 站 点 的 基础 设施 : 第 4 步 


®@ cloudFormation v 堆栈 
ome =~ +- mtaa cje 
Misfit: HE- EGS 17 ee 
saen azma x5 mt 
© wordpreas 2077-12-03 18:12:30 UTG+0800 CREATE IN PROGRES: WS In Action: cnapter 2 
基础 设施 已 经 被 创建 
此 刻 ， 已 经 从 蓝图 创建 
` 
了 一 个 基础 设施 
Rt SY eE sp A OM ps siam wag aso 
2017-12-03 s ne WAD 状态 原因 
» 18:13:30 UTC+0800 CREATE IN PROGRESS AWS: CloudFormation: Stack wordpress User initi ated 


图 2-7 审核 界面 


刷新 页 面 查 看 结果 ， 选 择 wordpress 一 行 ， 其 状态 应 该 是 
CREATE_ COMPLETE 。 如 果 状 态 仍然 是 CREATE_ IN _PROGRESS , iff 
耐心 等 待 直到 状态 变 为 CREATE_COMPLETE 。 如 图 2-8 所 示 ， 切 换 


到 “输出 ”标签 ， 将 看 到 wordpress 系统 的 URL 访 问 链接 ， 点 击 该 链 
接 即 可 访问 。 


基础 设施 已 经 被 创建 


概述 输出 Mm ge 模板 Me 标签 (Mt 更改 集 aso 


2017-12-03 状态 
> 182101UTC40800 CREATE COMPI 


图 2-8 ”博客 站 点 基础 设施 的 成 果 
看 到 这 里 读者 可 能 会 问 : 其 工作 原理 是 什么 呢 ? 管 案 束 是 目 动 


AWS 的 关键 概念 之 一 束 是 自动 化 。 用 户 可 以 自动 化 一 切 AWS 的 服务 。 在 
客站 点 的 基础 设施 是 按照 一 个 蓝图 创建 的 。 第 4 章 将 介绍 更 多 关于 这 个 蓝图 台 
针对 基础 设施 的 编程 理念 。 第 5 章 将 介绍 如 何 自 动 化 安装 软件 。 


下 一 市 ， 我 们 将 探索 这 个 博客 站 点 的 基础 设施 ， 以 便 更 好 地 了 解 
正在 使 用 的 各 种 服务 。 


2.2 ”探索 基础 设施 


现在 我 们 已 经 创建 了 但 客站 态 的 基础 设施 ， 那 束 让 我 们 一 起 来 深 
入 了 解 一 下 。 基 础 设施 包含 了 如 下 几 个 部 分 


。 Web 服 务 器 ; 
。 负载 均衡 器 ; 
。MYySQL 数 据 库 ° 


我 们 将 使 用 控制 台 的 资源 组 功能 来 总 览 所 有 内 容 。 
2.2.1 资源 组 


资源 组 (resource group) 是 一 个 AWS 资 源 的 集合 。 资 源 是 AWS 服 
务 或 功能 的 抽象 概念 ， 资 源 可 以 是 一 台 EC2 服 务 絮 、 一 个 安全 组 或 者 
一 个 RDS 数 据 库 。 资 源 可 以 用 键 值 对 作为 标签 来 标记 ， 而 资源 组 可 以 
指定 拥有 哪些 标签 的 资源 才能 属于 该 组 。 此 外 ， 资 源 组 会 指定 资源 所 
处 的 区 域 (region) 。 当 在 一 个 AWS 账 户 下 运行 多 个 系统 时 ， 客 户 可 
以 使 用 资源 组 来 归 类 各 种 资源 。 


还 记得 ， 我 们 之 前 给 博客 网 站 点 基础 设施 标记 的 标签 是 ， 
system 为 键 ，wordpress 为 值 。 在 后 文中 ， 我 们 将 采用 
(system:wordpress ) 这 样 的 记 法 来 表示 键 值 对 。 这 里 将 使 用 此 
标签 来 为 WordPress 的 基础 设施 创建 一 个 资源 组 。 如 图 2-9 所 示 ， 点 击 
导航 栏 的 “资源 组 ”部 分 ， 然 后 点 击 “ 创 建 资源 组 ”。 


C 计划 的 事件 
服务 状态 RARS (AEA: 
ner: EEH 


esy 


图 2-9 ”建立 一 个 新 的 资源 组 


在 一 些 图 中 ， 如 图 2-9 所 示 ， 我 们 将 看 到 一 些 带 辑 圈 的 数字 ， 它 们 标记 了 我 们 应 该 遵循 
的 点 击 顺序 ， 以 便 执行 周围 文字 所 壕 的 流程 。 


现在 我 们 将 创建 一 个 新 的 资源 组 。 
(1) 资源 组 的 名 字 为 wordpress ， 或 者 选择 一 个 自己 喜欢 的 名 


tt 


(2) 添加 标签 ， 键 为 System ， 值 为 wordpress 。 
(3) 选择 区 域 为 弗吉尼亚 北部 。 


填写 的 表单 看 起 来 如 图 2-10 所 示 。 现 在 ， 保 存 资 源 组 。 


为 资源 组 选择 一 所 有 区 域 意味 着 资源 组 
个 你 喜欢 的 名 字 不 会 与 某 一 个 区 域 绑 定 


. 为 CloudFormation 选 择 US East 
Cuetec (美国 东部 弗吉尼亚 ) ， 如 果 不 
i 确定 ， 可 以 选择 “所 有 区 域 ” 


图 2-10 ”为 博客 站 点 建立 一 个 资源 组 


2.2.2 Web 服务器 


现在 我 们 将 看 到 图 2- 11 所 示 的 界面 ， 在 左边 栏 的 EC2 分 类 下 选 
择 “ 实 例 ? 就 可 以 看 到 Web 服 务 器 。 上 点击“Go" 列 的 箭头 图 标 ， 可 以 很 容 
易 地 查看 某 一 个 Web 服 务 器 的 细节 。 


虚拟 服务 器 也 
称 作 一 个 实例 


图 2-11 在 资源 组 中 的 博客 站 点 Web 服 务 器 


我 们 现在 看 到 的 是 web 服务 器 〈 也 称 为 EC2 实 例 ) 的 细节 。 图 2-12 
展示 了 将 会 看 到 的 主要 内 容 ， 一 些 有 趣 的 细节 如 下 。 


。 实例 类 型 一 一 展示 实例 的 处 理 能 力 。 我 们 将 在 第 3 章 了 解 到 关于 
实例 类 型 的 更 多 的 内 容 。 

。 公 有 IP 一 一 在 互联 网 上 可 以 访问 的 IP 地 址 。 我 们 可 以 使 用 SSH 通 
过 这 个 IP 地 址 登录 到 服务 器 。 

。 安全 组 一 一 如 果 点 击 查看 规则 ， 将 看 到 正在 生效 的 防火 墙 规则 。 
例如 ， 人 允许 所 有 的 来 源 (0.0.0.0/0) 访问 端口 22。 

。AMI ID 记 住 你 正在 使 用 的 是 Amazon Linux 操 作 系 统 。 如 果 点 
击 AMI ID， 将 看 到 操作 系统 的 版 本 等 。 


选择 这 个 标签 页 可 以 使 用 SSH 连 接 到 
查看 一 些 监控 图 表 这 个 IP 地 址 


图 2-12 ”博客 站 点 基础 设施 中 Web 服 务 器 的 细节 信息 


选择 "监控 "标签 查看 Web 服 务 器 的 使 用 程度 。 这 将 成 为 你 日 常 工 
作 的 一 部 分 :掌握 基础 设施 的 实际 运行 情况 。AWS 收 集 了 一 些 系统 指 
标 ， 并 把 它们 展示 在 监控 功能 里 面 。 如 果 CPU 利 用 率 高 于 80%， 应 该 
添加 第 三 台 服 务 器 ， 以 防止 Web 页 面 加 载 时 间 过 长 。 


2.2.3 ”负载 均衡 器 


所 击 左 边栏 EC2 分 类 下 的 “负载 均衡 器 *， 可 以 看 到 所 创建 的 负载 
Se a en naman 
av HAH ° 
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到 两 个 Web 服 务 器 中 


图 2-13 ”博客 站 点 基础 设施 资源 组 中 的 负载 均衡 器 


现在 看 一 下 负载 均衡 万 的 细节 。 图 2-14 展 示 了 将 会 看 到 的 主要 内 
容 。 最 有 趣 的 是 ， 人 负载 均衡 右 是 如 何 将 流量 转发 到 Web 服 务 右 的 。 
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i 
负载 均衡 器 将 端口 80 上 的 流量 转发 到 
Web 服 务 器 的 80 端 口上 


图 2-14 ”负载 均衡 器 服务 于 博客 站 点 基础 设施 的 细 市 


博客 站 点 的 基础 设施 的 运行 在 80 端 口上 ， 即 HTTP 协 议 的 默认 端 
口 。 创 建 的 负载 均衡 器 仅 接受 HTTP 协议 的 连接 ， 并 会 把 一 个 请 求 转 发 
给 后 端的 一 全 监听 80 端 口 的 web 服务 夯 上 “。 人 负载 均衡 希 还 会 对 关联 的 


虚拟 服务 器 进行 运行 状况 检查 。 因 为 两 台 虚 拟 服务 器 工作 正常 ， 所 以 
负载 均衡 器 就 会 将 流量 转发 过 去 。 

“如 前 所 述 , “监控 ”标签 页 里 包含 了 一 些 有 趣 的 指标 ， 我 们 应 该 在 
生产 环境 里 予以 关注 。 如 果 流 量 模型 突然 变化 ， 那 么 系统 可 能 出 现 了 
问题 。 显 示 出 来 的 HTTP 错 误 数 的 指标 会 帮助 我 们 对 系统 进行 监控 和 排 


错 。 


2.2.4 MySQL 数据 库 


最 后 但 并 非 不 重要 的 是 ， 我 们 一 起 来 看 一 下 MySQL 数 据 库 。 在 
wordpress 资源 组 中 可 以 看 到 MySQL 数 据 库 。 在 左边 栏 选 择 RDS 分 
类 下 的 “数据 库 实例 ”， 点 击 “ 开 ...” 列 的 箭头 (如 图 2-15 所 示 ) ， 将 看 到 
数据 库 的 细节 信息 。 


M g ore e ar e 
P © | à Secure nttps 


itps:jiresources console aws amezon.com /rio *ROMT0qG 
后。 Namshong © lang au an 


0 | 
MySQL 数 据 库 的 存储 容量 可 以 随时 增加 


图 2-15 ”博客 站 点 基础 设施 资源 组 中 的 MySQL 


图 2-16 展 示 了 MySQL 数 据 库 的 细节 信息 。 使 用 RDS 的 好 处 是 ， 
为 AWS 和 平台 会 自动 完成 数据 库 备 份 ， 客 户 不 再 需要 关心 这 些 工作 。 同 
时 ， 在 自 定义 维护 时 间 窗 口 后 ，AWS 也 将 自动 完成 数据 库 更 新 。 记 
住 ， 可 以 按照 实际 需要 选择 适当 的 数据 库 的 存储 、CPU 和 内 存 大 小 。 
AWS 提 供 了 许多 不 同 的 实例 类 型 ， 从 1 个 CPU 核 、1 GB 内 存 ， 到 32 个 
CPU 核 、244 GB 内 存 ， 我 们 将 在 第 9 章 了 解 到 更 多 相关 内 容 。 


接 下 来 ， 应 该 评估 成 本 了 ， 我 们 将 在 下 一 下 分 析 博 客站 点 基础 以 
构 的 各 项 成 本 。 


你 的 MySQL 数 据 库 目前 使 
用 普通 磁盘 ， 还 可 以 使 用 
SSD 磁 盘 来 提高 性 能 AWS 负 责备 份 数据 


你 可 以 指定 一 个 时 间 窗 口 ， 
AWS 将 会 更 新 你 的 数据 库 


图 2-16 博客 站 点 基础 设施 中 MySQL 数 据 库 的 信息 


23 ”成 本 是 多 少 


估价 是 成 本 评估 工作 的 一 部 分 ， 可 以 使 用 “AWS 人 简单 月 度 计算 
ax” (AWS Simple Monthly Calculator) 来 分 析 博 客站 点 基础 设施 的 成 
本 。 在 2.1 节 中 ， 点 击 “ 费 用 ”链接 束 会 打开 男 外 一 个 浏览 如 标签 页 。 现 
在 切换 到 那个 标签 页 ， 将 看 到 如 图 2-17 所 示 的 内 容 。 如 果 已 经 天 闭 了 
之 前 的 标签 页 ， 可 以 登录 如 下 链接 : 


https://s3.amazonaws.com/awsinaction/chapter2/cost.html ° 


-* ££ Console 
a oa a 
7 SIMPLE MONTHLY CALCULATOR Ip? Watch the Videos or Read How AWS Pricing Works 
= a = 
@ a RHebaiasaa naarat BA, 
图 2-17 ”博客 站 点 基础 设施 的 成 本 计算 
点 击 “ 你 的 月 度 账 单 预 佑 ”， 展 开 *Amazon EC2 服 务 ? 和 “Amazon 
RDS 服 务 ” 两 行 。 
人 花费 大 约 60 美 元 ， 表 2-1 展 示 了 


在 这 个 例子 中 ， 基 础 设施 1 个 月 将 
ERAAI o 
使 用 AWS 简 单 月 度 计算 器 计算 基础 设施 的 成 本 


表 2-1 


请 注意 ， 这 只 是 一 个 估算 的 成 本 。 每 个 月 底 ， 你 将 收 到 根据 实际 
使 用 计算 出 来 的 账单 。 所 有 资源 按 需 使 用 ， 账 单 是 按 小 时 或 按 GB 数 量 
计算 的 。 那 么 ， 哪 些 因素 会 影响 基础 设施 的 实际 使 用 呢 ? 


。 人 负载 均衡 器 的 流量 一 一 因为 通常 人们 会 在 12 月 和 夏季 去 上 度假， 不 
会 去 浏览 博客 ， 所 以 这 个 时 间 段 的 预期 成 本 会 下 降 。 
数据 库 的 存储 一 一 如 果 你 公司 的 博客 文章 在 不 断 地 增加 ， 数 据 库 
的 存储 也 会 增加 ， 从 而 导致 数据 库存 储 成 本 的 增加 。 
Web 服 务 右 的 数量 一 一 每 台 Web 服 务 磊 都 是 按 小 时 计 费 的 。 如 采 
两 台 Web 服 务 器 不 足以 处 理 每 天 的 全 部 流量 ， 你 可 能 需要 部 团 第 
三 台 服 务 右 ， 这 束 要 消耗 更 多 的 虚拟 服务 如 的 运行 小 时 数 。 


预 舍 基 础 设施 的 成 本 是 一 项 复杂 的 任务 。 即 时 没有 在 AWS 上 运行 
也 是 如 此 。 此 外 ， 灵 活性 是 使 用 AWS 可 以 得 到 的 好 处 之 一 。 如 果 预 估 
的 Web 服 务 需 数量 过 多 ， 可 以 随时 停止 一 台 或 几 人 台 ， 这 束 意 味 痢 同时 
停止 了 计 费 。 

现在 你 已 经 对 博客 站 点 基础 设施 的 成 本 有 了 大 概 的 了 解 ， 接 下 来 
我 们 该 关闭 基础 设施 并 完成 迁移 评 佑 。 


2.4 删除 基础 设施 


你 成 功 地 判断 出 了 自己 的 公司 可 以 将 博客 站 点 的 基础 设施 迁移 至 
AWS， 并 且 每 月 的 花费 大 约 是 60 美 元 。 现 在 你 可 以 决定 是 否 要 继续 执 
行 这 个 迁移 了 。 

为 完成 迁移 评估 ， 你 需要 删除 博客 站 点 基础 设施 使 用 的 全 部 次 
源 。 因 为 使 用 并 非 真 实 的 数据 进行 评估 ， 所 以 不 必 担心 数据 丢失 。 


进入 管理 控制 台 的 CloudFormation 服 务 ， 执 行 如 下 操作 。 


(1) 选择 wordpress 这 一 行 。 


(2) 点 击 “ 删 除 堆栈 "， 如 图 2-18 所 示 。 


堆栈 iD: —_arrcaws:cloudformation:us-east-1;752049529225;stack/wordpress/9c19b 1 bO-d812-1187-815c-50d501e6d2b3 


状态 ; CREATE COMPLETE 


RP: BAM 


图 2-18 删除 博客 站 点 的 基础 设施 


如 图 2-19 所 示 ， 在 确认 删除 之 后 ，AWS 会 在 儿 分 钟 内 目 动 分 析 资 
源 依 赖 关系 并 删除 整个 基础 设施 。 


删除 堆栈 x 


您 确定 要 删除 此 堆栈 吗 ? 
堆栈 名 称 : wordpress 
删除 堆栈 将 删除 所 有 堆栈 资源 。 


图 2-19 ”确认 删除 博客 站 点 的 基础 设施 


这 征管 理 基 础 设施 的 一 种 高 效 方法 。 正 如 目 动 化 创建 基础 设施 一 
样 ， 删 除 也 是 完全 目 动 化 的 。 你 可 以 随时 按 需 创建 或 删除 基础 设施 ， 
仅 需 在 基础 设施 上 创建 和 运行 时 为 之 文 付费 用 。 


2.5 ”小 结 


。 创 建 博 客站 点 基础 设施 的 工作 是 可 以 完全 自动 化 的 。 
。 基 础 设施 可 以 随时 按 需 创建 ， 不 需要 承诺 使 用 时 长 。 


。 用 户 需 要 按照 使 用 基础 设施 小 时 数 付费 。 
。 基础 设施 由 多 个 组 件 “如 虚拟 服务 器 、 负 载 均 衡器 和 数据 库 ) 构 


HE o 
。 基础 设施 可 以 一 键 删除 ， 处 理 流 程 是 目 动 的 。 


第 二 部 分 PEOR RA ae Mee 
基础 设施 


计算 能 力 和 网 络 连接 能 力 已 经 成 为 从 小 型 个 体 、 中 型 企业 到 大 型 
集团 的 基本 有 要求 了 。 过 去 满足 这 类 需求 的 方法 是 ， 在 目 有 机 房 或 者 外 
包 的 数据 中 心 维护 这 些 硬件 。 如 今 ， 云 计算 提供 了 革命 性 的 方法 来 获 
取 计 算 能 力 。 用 户 可 以 在 需要 的 时 候 ， 几 分 钟 内 开局 或 停止 虚拟 服务 
絮 来 满足 对 计算 资源 的 需求 。 我 们 同样 可 以 在 虚拟 服务 器 上 目 由 安 流 
ie 这 使 我 们 能 够 执行 我 们 的 计算 任务 ， 而 不 必 购 买 或 租用 硬件 设 


如 果 想 了 解 AWS， 最 好 能 够 深入 了 解 在 表面 功能 之 下 提供 文 撑 的 
API (应 用 编程 接口 ) 所 能 带 来 的 各 种 可 能 性 。 用 户 可 以 利用 向 REST 
API 发 送 请 求 控制 所 有 AWS 服 务 。 在 这 些 API 上 ， 我 们 可 以 搭建 备 种 解 
决 方案 来 实现 基础 设施 目 动 化 。 基 础 设施 目 动 化 是 云 计 算 胜 过 目 有 设 
施 的 一 个 重要 优势 。 


本 书 的 这 个 部 分 的 主题 是 调度 基础 设施 并 目 动 化 部 顺应 用 。 建 立 
虚拟 网 络 可 以 帮助 你 在 AWS 搭 建 封闭 、 安 全 的 网 络 环境 ， 并 让 它 和 你 
家 里 的 网 络 或 者 企业 内 网 实现 互通 。 第 3 草 探 讨 虚 拟 服务 器， 读者 会 了 
解 EC2 的 核心 概念 。 第 4 章 讨论 目 动 化 基础 设施 甚至 像 管理 代码 一 样 管 
理 它 。 第 5 章 将 展示 3 种 不 同 的 方法 来 想 AWS 部 署 软 件 。 第 6 革 是 关于 
网 络 的 ， 读 者 可 以 学 到 如 何 利用 虚拟 专用 网 和 防火 墙 来 保护 目 己 的 系 


Ti 


第 3 章 Te AMM Sas: EC2 


本 章 主要 内 容 


。 启动 一 台 Linux 虚 拟 服 务 器 

。 使 用 SSH 远 程 连接 到 虚拟 服务 器 
。 在 虚拟 服务 器 上 监控 和 调试 

。 减 少 在 虚拟 服务 器 上 的 开销 


我 们 口袋 中 的 智能 手机 和 背包 里 的 笔记 本 电脑 可 以 达到 惊人 的 计 
算 能 力 。 不 过 ， 如 有 果 我 们 需要 大 规模 的 计算 能 力 和 很 高 的 网 络 流 量 ， 
或 者 需要 全 天 候 不 间断 可 靠 运 行 ， 虚 拟 服 务 器 则 是 更 合 适 的 选择 。 。 有 
了 虚拟 服务 器 ， 束 拥有 了 数据 中 心里 一 台 物 理 服 务 絮 的 一 部 分 。 在 
AWS 中 ， 有 一 个 叫 弹 性 计算 云 (Elastic Compute Cloud，EC2) 的 服务 
用 来 提供 虚拟 服务 器。 


3.1 探索 虚拟 服务 器 


”虚拟 服务 器 是 一 台 物 理 服务 器 的 一 部 分 。 物 理 服务 器 通过 软件 来 
隔离 其 上 的 各 个 虚拟 服务 器 。 一 台 虚 拟 服务 器 由 CPU、 内 存 、 网 络 接 
口 和 存储 组 成 。 物 理 服务 器 也 称 为 宿主 服务 器 (host server) ， 其 上 
运行 的 虚拟 服务 器 称 为 客户 机 (guest) 。 虚 拟 化 管理 器 
(hypervisor) 负责 孤立 各 个 客户 机 并 调度 它们 对 硬件 的 请 求 。 图 3-1 
展示 了 服务 器 虚拟 化 的 各 个 层次 。 


中 的 示例 个 都 包含 在 免费 套 泉 父 中 。 当 一 个 示例 会 产生 费用 时 ， 会 za 


《要 不 是 运行 这 些 示例 好 几 天 ， 就 不 需要 支付 任何 费用 。 。 沁 企 ， 这 仅 适用 于 
;刚刚 创建 的 全 新 AWS 账 户 ， 并 且 在 这 个 AWS 账 户 里 没有 其 他 活动 。 REEN 
E 成 本 章 中 的 示例 ， 在 每 个 示例 完成 后 务必 清理 账户 。 


PRAY eth 


调度 并 隔离 发 向 

硬件 的 请 求 。 一 >» 虚拟 化 管理 器 
RANA 
a 宿主 服务 器 


图 3-1 ”服务 器 虚拟 化 的 层次 关系 
下 面 是 一 些 典 型 的 虚拟 服务 右 应 用 案例 : 
。 HAMARA EHL; 


。 运行 企业 内 应 用 : 
。 数据 转换 或 分 析 。 


3.1.1 ADREM A 


BAA e EMRA AR mA PILRIG T o 
(1) 打开 AWS 管 理 控制 台 


(2) 确保 在 “美国 东部 (弗吉尼亚 北部 ) ”区 域 ( 见 图 3-2) ， 
们 的 示例 专门 为 此 区 域 进行 了 优化 。 


确保 你 在 弗吉尼亚 北部 区 域 


资源 总 览 服务 跳 转 服务 的 导航 捷径 区 域 选择 器 支持 专区 
(可 以 自 定义 ) 


图 3-2 ”确保 在 正确 的 区 域 


(3) 在 导航 栏 中 展开 “服务 ”列表 ， 找 到 EC2 服 务 并 打开 ， 会 看 到 
一 个 图 3-3 所 示 的 页 面 。 


AWS ~ 服务 ~ CloudFormation EC2 S3 ffi 
| Ec2 控制 面板 资源 
事件 ‘ i 
标签 您 正在 使 用 以 下 美国 东部 (弗吉尼亚 北部 ) 区 域 中 的 Amazon EC2 资源 : 
报告 0 个 正在 运行 的 实例 0 个 弹性 IP 
限制 0 专用 主机 0 个 快照 
= 1 个 卷 0 个 负载 均衡 器 
实例 2 个 密 钥 对 15 个 安全 组 
竞价 请 求 0 个 置 放 群 组 
预 留 实例 
计划 实例 创建 实例 
专用 主机 
要 开始 使 用 EC2， 您 需要 启动 一 个 被 称 为 Amazon EC2 实例 的 虚拟 服务 器 。 
启动 实例 
捆绑 任务 n r 
注意 : 您 的 实例 将 在 美国 东部 (弗吉尼亚 北部 ) 区 
启动 新 的 虚拟 服务 器 


图 3-3 ”EC2 服 务 的 界面 和 “启动 实例 ”按钮 
(4) 点击“ 启动 实例 ”按钮 来 执行 启动 虚拟 服务 器 向 导 。 
这 个 同 导 将 带 用 户 经 历 以 下 几 个 步骤 。 
(1) 选择 操作 系统 。 
(2) 选择 虚拟 服务 器 的 规格 。 
(3) 配置 详细 信息 。 
(4) 检查 输入 并 为 SSH 选 择 一 个 密 钥 对 。 
1. 选择 操作 系统 
第 一 步 是 为 虚拟 服务 器 选择 操作 系统 和 预 安装 软件 的 组 合 ， 我 们 


称 其 为 Amazon 系 统 映像 (Amazon Machine Image, AMI) 。 为 虚拟 服 
务 器 选择 Ubuntu Server 14.04 LTS (HVM) ， 如 图 3-4 所 示 。 


虚拟 服务 器 是 基于 AMI 启 动 的 。 ee 由 第 三 方 供应 商 及 
社区 提供 。AWS 提 供 Amazon Linux AMI， 包 含 了 为 EC2 优 化 过 的 从 
Red Hat Enterprise Linux 派 生 的 版 本 。 用 户 也 可 以 我 到 流行 的 Linux 版 
o Windows Server 的 AMI。 4b, AWS Marketplace 提 供 预 

了 第 三 方 软件 的 AMI。 


”一 合 虚 拟 设备 (virtual appliance) 是 一 个 包含 操作 系统 和 预 安装 软件 的 映像 ， 书本 以 
运行 在 虚拟 机 管理 程序 (hypervisor) 上 。 虚 拟 机 管理 程序 的 工作 就 是 运行 一 台 或 多 台 虚 拟 
设备 。 因 为 一 AHN G A TER, 每 次 启动 这 台 虚 拟 设备 ， 都 会 得 到 完全 一 致 
的 结果 。 用 户 可 以 经 常 根 据 上 自己 的 需要 再 生产 虚拟 设备 ， 这 样 就 能 利用 它们 来 消除 安装 配 
置 复杂 软件 的 开销 。 虚 拟 设备 可 以 被 常见 的 虚拟 化 工具 使 用 ， 以 基础 设施 即 服务 的 方式 在 
云 中 提供 。 这 些 虚 拟人 1a] 能 来 自 于 VMware、Microsoft 或 Oracle 等 厂商 。 


AMI 是 AWS 上 的 虚拟 设备 映像 。 它 是 一 个 特殊 的 虚拟 设备 ， 用 于 EC2 服 务 商 的 虚拟 服 
务 器 。 从 技术 上 来 说 ，AMI 由 一 个 只 读 文件 系统 ， 包 括 操 作 系 统 、 额 外 的 软件 和 配置 构 
R: 它 不 包含 操作 系统 内 核 。 操 作 系 统 内 核 从 Amazon Kernel Image (AKI) 装载 。 也 可 以 
利用 AMI 在 AWS 上 部 署 软件 。 


AWS 使 用 Xen， 一 个 开源 的 虚拟 机 管理 程序 ， 作 为 EC2 服 务 的 底层 技术 。AWS 上 这 一 
代 的 虚拟 服务 器 使 用 硬件 辅助 的 虚拟 化 技术 。 这 个 技术 被 称 为 Hardware Virtual 
(HVM) 且 使 用 Intel VT-x 平 台 。 一 台 运 行 在 基于 HVM 的 AMI 的 虚拟 服务 器 使 用 完全 虚拟 
化 的 硬件 设备 ， 并 且 可 以 利用 硬件 设备 扩展 ， 它 提供 快速 访问 底层 硬件 。 
为 虚拟 Linux 服 务 器 使 用 3.8+ 内 核 将 提供 最 好 的 性 能 。 要 这 样 做 ， ] 户 应 该 应 该 使 用 至 少 


Amazon Linux 13.09 ` Ubuntu 16.x 或 RHEL 7 ° 如 果 要 朋 动 新 的 虚拟 服务 器 ， 一 定 要 确保 
己 使 用 的 是 HVM 映 像 。 


om 


常用 AMI， 包 括 Linux 和 Windows — 第 三 方 提供 的 AMI， 包 括 已 经 预 安装 的 软件 


CloudFormation DemoUser ~ 


1. 选择 AMI 2 选择 实例 类 车 3. BESS 4. 添加 存储 5. 标签 实例 6. REESE 7. 审核 
步骤 十 选择 一 个 Amaz6n 系统 映像 AMI) 
快速 启动 1325, #257 AMI 
我 的 AMI ü Amazon Linux AMI 2016.03.2 (HVM), SSD Volume Type - ami-a4827dc9 manm] 


Amazon Linux The Amazon Linux AMI is an EBS-backed, AWS-supported image. The detault image includes AWS command line 


64 位 
ANS Merkelplace tools, Python, Ruby, Perl, and Java. The repositories include Docker, PHP, MySQL, PostgreSQL, and other packages. 
社区 AMI 概 设 备 类 型 : obs ARTAN: hvm 
a Red Hat Enterprise Linux 7.2 (HVM), SSD Volume Type - ami-2051294a (a | 
仅 免费 套餐 人 
Red Hat Red Hat Enterprise Linux version 7.2 (HVM), EBS General Purpose (SSD) Volume Type ut 
MARN: ods ARTAN: hvm 
3 SUSE Linux Enterprise Server 12 SP1 (HVM), SSD Volume Type - ami-b7b4fedd | 
SUSE Linux SUSE Linux Enterprise Server 12 Service Pack 1 (HVM), EBS General Purpose (SSD) Volume Type. Public Cloud, at 


kaliki] Advanced Systems Management, Web and Scripting, and Legacy modules enabled. 


MQHAG: ebs MATAN: hvm 


© Ubuntu Server 14.04 LTS (HVM), SSD Volume Type - ami-fce3c696 
Ubuntu Ubuntu Server 14.04 LTS (HVM), EBS General Purpose (SSD) Volume Type. Support available from Canonical 
合 64 位 
EESESEEE (nttp:www.ubuntu.com/cloud/services). > 


所 有 人 都 能 使 用 的 免费 AMI HVM 是 最 新 也 是 选择 这 个 AMI， 获 得 
最 快 的 虚拟 化 类 型 Ubuntu 操作 系统 


图 3-4 ”为 虚拟 服务 器 选择 操作 系统 


2. 选择 虚拟 服务 器 的 尺寸 


现在 是 时 候 来 为 虚拟 服务 器 选择 所 需 的 计算 能 力 了。 图 3-5 展 示 了 
问 导 的 下 一 步 。 在 AWS 上 ， 计 算 能 力 被 归 类 到 实例 类 型 中 。 一 个 实例 
类 型 主要 描述 了 CPU 的 个 数 及 内 存 数量 等 资源 。 


根据 特殊 操作 目的 来 过 滤 过滤 掉 旧 的 实例 类 型 连接 到 服务 器 的 硬盘 


5. 添加 标签 6. 配置 安全 组 7. 审核 


WERT: 。 所 有 实例 类 型 ~ 最 新 一 代 ~ 显示 /隐藏 列 


当前 选择 的 实例 类 型: t2.micro (变量 ECU, 1 vCPU, 2.5 GHz, Intel Xeon Family, 1 GiB 内 存 , 仅 限于 EBS) 


系列 = 类 型 ~ PU (D ~ AF (GIB) ~ ”实例 存储 (GB) | ~- 可 用 的 优化 EBS i~ 网 络 性 能 i = Ta = 
通用 型 t2.nano 1 05 仅 限于 EBS - 低 到 中 等 是 
3 t2.micro ka 

(] 通用 型 1 1 仅 限于 EBS - 低 到 中 等 是 
通用 型 t2.small 1 2 仅 限于 EBS - 低 到 中 等 是 
通用 型 t2.medium 2 4 仅 限于 EBS - 低 到 中 等 是 
通用 型 t2.large 2 8 仅 限 于 EBS - 低 到 中 等 是 

取消 “上 一 步 下 一 步 : 配置 实例 详细 信息 
为 你 的 虚拟 服务 器 选择 t2.micro 只 有 网 络 附加 存储 (EBS) 可 使 用 点 击 这 里 以 继续 


图 3-5 ”选择 虚拟 服务 器 的 尺寸 


不 同 实例 类 型 用 同样 的 结构 化 方式 命名 。 实 例 家 族 ”(instance family) 用 相同 的 方式 对 
实例 类 型 进行 分 组 。AWS 不 时 发 布 新 的 实例 类 型 及 家 族 ; 不 同 版 本 的 硬件 
eau RRA ° LHR (instance size) 定义 了 CPU 的 处 理 能 力 、 内 存 、 存 
诸 及 网 络 。 


例如 ， 实 例 类 型 t2.micro 告 诉 用 户 以 下 信息 。 


1) 实例 家 族 是 t。 它 包含 了 小 的 、 便 宜 的 虚拟 服务 器 ， 具 备 最 低 基 线 的 CPU 性 能 ， 
能 力 突 然 在 短 时 间 内 大 大 超过 其 CPU 性 能 基线 。 


2) 用 户 正 在 使 用 这 一 实例 类 型 的 第 二 代 。 
3) 尺寸 是 micro， 意 味 着 这 个 实例 非常 小 。 


表 3-1 展 示 了 不 同 案例 下 使 用 的 实例 类 型 的 示例 。 所 有 的 价格 (以 
美元 为 单位 ) 对 美国 东部 (弗吉尼亚) 有效 ， 且 虚拟 服务 器 是 基于 
2015 年 4 月 14 日 的 Linux 版 本 的 。 


表 3-1 实例 家 族 及 实例 类 型 概览 


虚拟 价格 
lcd e e 

Be 

he HAE 基 J [MRS S, 

(2.micro |1 or 及 低 流量 的 应 用 


FE 所 有 类 型 的 应 用 ， 如 
平衡 比例 的 CPU、 内 
et aa 


更 用 额外 内 存 为 内 存 密 。 | 内 存 中 缓存 ， 企 业 级 | ,| ve 
集 型 应 用 做 了 优化 应 用 服务 器 


男 外 ， 还 有 为 计算 密集 型 工作 量 、 高 网 络 WO 型 工作 量 和 存储 密集 
型 工作 量 做 了 优化 的 实例 类 型 与 家 族 。 还 有 实例 类 型 为 服务 器 端 图 形 
化 工作 量 提供 GPU 访 问 。 我 们 的 经 验 表明 ， 用 户 会 高 估 目 己 的 应 用 所 
需 的 资源 ， 因 而 我 们 推荐 读者 先 壬 试 使 用 比 目 己 首先 想到 的 要 小 一 些 
的 实例 类 型 来 局 动 目 己 的 应 用 。 


计算 机 的 运算 速度 越 来 越 快 ， 而 且 技术 越 来 越 专业 化 。AWS 持 续 
不 断 引 入 新 的 实例 类 型 与 家 族 。 它 们 中 有 些 是 对 已 存在 的 实例 家 族 的 
改进 ， 而 另 一 些 则 专注 于 特殊 的 工作 负载 。 例 如 ， 实 例 家 族 d2 于 2015 
年 3 月 被 引入 。 T RRR EMUS R S a TEE AERIS, 如 


用 户 进 行 最 初 的 实验 时 使 用 最 小 且 最 便宜 的 虚拟 服务 做 孢 足够 


了 。 在 图 3-6 所 示 的 向 导 界面 上 ， 选 择 实例 类 型 .micro， 然 后 点 击 < 下 
一 步 : 配置 实例 详细 信息 "按钮 来 继续 。 


3. 实例 详细 信息 、 存 储 、 防 火 墙 和 标签 


回 导 的 接 下 来 4 个 步骤 十 分 容易 ， 因 为 不 需要 更 改 稚 认 值 。 我 们 稍 
后 会 学 习 这 些 设 置 的 详细 信息 。 


图 3-6 展 示 了 癌 导 的 下 一 步 。 用 户 可 以 更 改 目 己 的 虚拟 服务 句 的 详 
细 信 息 ， 如 网 络 配置 或 需 要 启动 的 有 多 亏 的 数量 。 目 前 ， 保 持 默 认 
值 ， 然 后 点 击 “ 下 一 步 : 添加 存储 ”按钮 。 


有 个 同 的 在 AWS 上 存储 数据 的 选项 ， 我 们 将 在 后 面 的 对 入 进 行 介 
绍 。 图 3-7 展 示 了 同 虚 拟 服务 器 添加 网 络 附加 存储 的 渤 项 。 你 持 默 认 
值 ， 然 后 点 击 “ 下 一 步 : 添加 标签 ”按钮 。 


清晰 的 组 织 分 类 可 以 营造 整洁 的 环境 。 在 AWS 平 台 上 ， 使 用 标签 
可 以 帮助 用 户 很 好 地 组 织 资源 。 标 签 是 一 个 键 值 对 。 用 户 至 少 应 该 给 
自己 的 资源 添加 一 个 名 称 标签 ， 以 便 今后 更 方便 地 找到 它 。 使 用 Name 
YEA, myserver 作为 值 ， 如 图 3-8 所 示 。 然 后 点 击 “ 下 一 步 : 配置 
安全 组 ”按钮 。 


一 次 启动 一 台 或 多 台 虚 拟 服务 器 ”虚拟 服务 器 的 网 络 设置 。 “访问 其 他 AWS 服 务 的 权限 控制 


AWS ~ ~ EC2 
选择 2. 选择 实例 类 型 3. 配置 实例 4. 添加 存储 5. 添加 标签 6. 配置 安全 组 7. BR 
步骤 3: 配置 实例 详细 信息 息 
配置 实例 以 便 满足 您 的 需求 。 NI 上 启动 多 个 实例 ， 请 忆 竞 价 型 实例 以 利用 其 低 价 优势 ， 内 实例 分 配 访问 管理 角色 等 等 。 
实例 的 数量 Ò 1 启动 至 Auto Sokiing 组 (i 
BEAM G MRAM 


网 络 a vpc-57863632 (默认 ) B C 新 建 VPc 
子 网 i 无 首选 项 (任何 可 用 区 的 默认 子 网 ) S| 新 建 子 网 
自动 分 配 公有 IP G 使 用 子 网 设置 (启用) 3 
IAM 角色 A 无 BC 创建 新 的 |AM 角色 
关闭 操作 T 停止 [S] 
启用 终止 保护 O 防止 意外 终止 
监控 G 启用 CloudWatch 详细 监控 
; cleat 
| 取消 ”上 一 MAR TF9: 
| 审核 和 启动 i 步 : 添加 存储 
关闭 及 监控 的 设置 点 击 这 里 继续 
y gH `à à 
wo] Be =< 
图 3-6 ”虚拟 服务 器 的 详细 信息 


为 你 的 虚拟 服务 器 使 用 网 络 附加 存储 是 否 加 密 数据 


CloudFormation 


MBSE) am 2. 选择 实例 类 型 。 3. 配置 实例 4. 添加 存储 5. 添加 标签 6. 配置 安全 组 7, 审核 


步骤 4: 添加 存储 


您 的 实例 将 使 用 以 下 存储 设备 设置 启动 。 您 可 以 将 其 他 EBS 卷 和 实例 存储 卷 连接 到 您 的 实例 ， 或 编辑 根 卷 的 设置 。 您 还 可 以 在 启动 实例 后 连接 其 他 EBS 卷 而 非 你 例 
存储 卷 。 了 解 更 多 关于 Amazon EC2 中 的 存储 选项 。 


ann 人 设备 中 快照 人 AN eum 0 ors: 0) TER ama 


-BEIF 
= 
a 


根 目录 /dev/xvda snap-0120309fef406aa90 8 General Purpose $ 100/3000 不 适用 a 未 加 密 


有 资格 使 用 免费 套餐 的 客户 最 多 可 获得 #0 GB 的 EBS 通用 型 (SSD) 成 磁 存 储 空间 。 TRES 有 关 免 费 使 用 套餐 资格 和 使 用 限制 的 信息 。 


取消 | 上 一步 下 一 步 : 添加 标签 


| \ ‘a 


网 络 附加 存储 大 小 使 用 SSD 或 磁性 HDD 服务 器 终止 后 删除 硬盘 。” 点 击 这 里 继续 


图 3-7 为 虚拟 服务 器 添加 网 络 附 加 存储 


使 用 Name 作 为 键 来 命名 你 的 服务 器 命名 将 便于 找到 你 的 服务 器 


CloudFormation 


DemoUser ~ RĀ 


1. 选择 AMI 选择 实例 类 型 3, 配置 实例 4, 添加 存储 5, 添加 标签 6, 配置 安全 组 7/ 审核 


密 钥 | (最 多 127 TFR) 值 (最 多 255 个 下 符 ) 实例 


Name myserver a © @ 


SS 取消 “上 一 步 下 一 步 : 配置 安全 组 


创建 额外 的 标签 来 查询 和 组 织 服务 器 点 击 这 里 继续 


图 3-8 


4 


一 个 名 称 标签 为 虚拟 服务 器 命名 

防火 墙 帮 助 用 户 你 护 虚 拟 服务 器 的 安全 。 图 3-9 展 示 了 一 个 防火 墙 
设置 ， 该 设置 允许 从 任意 位 置 使 用 SSH 访 问 默认 的 22 端 口 。 这 正 是 我 
们 想 实 现 的 效果 ， 所 以 保留 默认 值 ， 然 后 后 击 “ 审 核 和 启动 ”按钮 。 


为 你 的 服务 器 创建 一 
套 新 的 防火 墙 规则 填写 名 称 与 描述 帮助 组 织 标识 


CloudFormation 


控制 台 主 页 MMI 2. 选择 实例 类 型 3. 配置 实例 4. BMA 5. 添加 标签 6. 配置 安全 组 7. 审核 


步骤 6: 配置 安全 组 

安全 组 是 一 组 防火 墙 规则 ， 用 于 控制 针对 您 的 实例 的 流量 。 在 此 页 面 上 ， 您 可 以 添加 规则 来 允许 到 达 您 的 实例 的 特定 流量 。 例 如 ， 如 采 您 希望 设置 一 个 Web 服务 器 ， 并 允许 Internet 
流量 到 达 您 的 实例 ， 请 添加 相应 的 规则 来 允许 不 受 限制 地 访问 HTTP 和 HTTPS 端口 。 您 可 以 创建 一 个 新 的 安全 组 或 从 下 面 选择 一 个 现 有 的 安全 组 。 了解 更 多 有 关 Amazon EC2 安全 
组 的 信息 。 


分 配 安全 组 :创建 一 个 新 安全 组 A 
选择 一 个 现 有 的 安全 组 
安全 组 名 称 : launch-wizard-2 


描述 : launch-wizard-2 created 2017-06-03T19:41:09,117+08:00 
类 型 i 协议 Li 端口 范围 i RA i 
SSH 3 TCP 22 BEX E 0.0.0.00 @ 
添加 规则 
A 警告 


设置 为 0.0.0.0/0 的 澜 规 则 允许 所 有 IP 地 址 访问 您 的 接口 。 我 们 建议 将 安全 组 规则 设置 为 仅 允许 从 已 知 的 IP 地 址 进行 访问 。 


取消 fe Boer 


j 
允许 任意 来 源 的 SSH 访 问 
点 击 这 里 继续 


图 3-9 ”为 虚拟 服务 器 配 防 火 墙 


4. 检查 输入 并 为 SSH 选 择 一 个 密 钥 对 


局 动 虚拟 服务 器 的 步骤 快要 完成 了 。 辐 导 会 癌 用 户 显 示 新 的 虚拟 
服务 器 的 总 结 信息 〈 见 图 3-10) 。 确 保 选 择 了 Ubuntu Server 16.04 LTS 
(HVM) 作为 操作 系统 ， 实 例 类 型 为 t2.micro。 如 果 一 切 正 确 ， 点 
击 “ 局 动 ”按钮 。 


在 这 一 案例 中 需要 允许 从 任意 地 方 访问 SSH， 因 此 这 里 产生 一 个 警告 


CloudFormation 
1. 选择 AMI 2. 选择 实例 类 型 3. 配置 实例 4. 添加 存储 5. 添加 标签 6. 配置 安全 组 7. 审核 


步骤 7: 核查 实例 启动 


请 查看 您 实例 启动 的 详细 信息 。 您 可 返回 对 每 个 部 分 进行 编辑 更 改 。 单 击 启动 , /以 为 您 的 实例 分 配 一 个 密 钥 对 并 完成 启动 过 程 。 


A 提高 实例 的 安全 性 。 您 的 安全 组 launch-wizard-2 向 世界 开放 。 
您 的 实例 可 以 从 任何 IP 地 址 访问 。 我 们 建议 您 更 新 您 的 安全 组 规则 ， 只 允许 从 已 知 的 IP 地 址 访问 。 
您 也 可 以 在 安全 组 中 打开 其 他 端口 ， 以 便于 访问 您 正在 运行 的 应 用 程序 或 服务 ， 例 如 Web 服务 器 的 HTTP (80)。 编辑 安全 组 


~ AMI 详细 信息 编辑 AMI 
© Ubuntu Server 16.04 LTS (HVM), SSD Volume Type - ami-80861296 
maT Ubuntu Server 16.04 LTS (HVM),EBS General pose (SSD) Volume Type. Support available from Canonical (http://www.ubuntu,com/cloud/services). 
根 设备 类 型 : ebs 。 庶 拟 化 类 型 : hvm 
~ 实例 类 型 编辑 实例 类 型 
实例 类 型 ECU VCPU AG (GiB) 实例 存储 (GB) 可 用 的 优化 EBS 网 络 性 能 
t2.micro 变量 1 1 仅 限 于 EBS - Low to Moderate 
v 安全 组 编辑 安 们 组 
BH ke = 
T ` = 
实例 类 型 ， 为 你 的 服务 器 使 用 t2.micro ”使 用 Ubuntu 操作 系统 的 AMI 点 击 这 里 启动 


图 3-10 检查 虚拟 服务 器 启动 的 实例 
最 后 但 同样 重要 的 是 ， 辐 导 雪 求 用 户 提供 新 虚拟 服务 器 的 密 铀 


户 需 要 一 个 密 钥 来 登录 到 自己 的 虚拟 服务 o 用 户 使 用 一 个 密 钥 而 不 是 密码 来 完成 
身份 认证 o BREA H 码 更 加 安全 ， 而 且 在 AWS o a 器 强制 SSH 访 问 使 用 
A ERB 过 了 1.8.3 节 中 创建 密 钥 的 步 又， 可 以 根据 下 面 的 步骤 来 创建 一 个 个 人 密 


打开 AWS 管 理 控制 台 。 在 导航 栏 的 “服务 "的 下 面 找到 “EC2 服 务 "， 然 后 点 击 它 。 
切换 到 子 菜单 < 密 钥 对 ”。 

点 击 “ 创 建 密 钥 对 ”。 

输入 mykey 作为 密 钥 对 名 字 ， 然 后 点 击 “ 创 建 ”， 浏 览 器 将 自动 下 载 密 钥 。 

打开 一 个 终端 ， 切 换 到 下 载 目录 。 


仅 限 OS X 和 Linux: 在 控制 台 运行 chmod 400 mykey .pem 来 修改 访问 文件 
mykeypem 的 权限 。 


仅 限 Windows: Windows 没 有 自 带 SSH 客 户 端 ， 所 以 需要 安装 PuTTY。PuTTY 带 有 一 个 
工具 叫 作 PuTTYgen， 它 可 以 将 mykeypem 文 件 转换 成 将 需要 的 mykeyppk。 打 开 
PuTTYgen, 然后 在 “Type of key to generate” 中 选择 “SSH-2 RSA”。 点 击 Load。 因 为 
PuTTYgen 只 显示 *.pkk 文 件 ， 需 要 切换 “File name input” 框 中 的 文件 扩展 名 为 "所 有 文件 
现在 可 以 选择 mykey. pem 文 件 ， 然后 点 击 Open， 确 认 对 话 框 。 修 改 “Key Comment” 为 


mykey， 然 后 点 击 “Save private key” ° 忽略 关于 未 使 用 密码 保护 保存 的 密 钥 的 警告 。.pem 文 


件 现在 被 转换 成 了 PuTTY 所 需要 的 .pkk 格 式 。 
读者 可 以 在 第 1 章 找 到 关于 如 何 创建 密 钥 的 详细 说 明 。 


选择 “选择 现 有 密 钥 对 ”选项 ， 选 择 密 钥 对 mykey ， 然 后 点 击 “ 局 
动 实例 ”按钮 ( 见 图 3-11) ° 


选择 现 有 密 钥 对 或 创建 新 密 钥 对 x 


密 钥 对 由 AWS 存储 的 公有 密 钥 和 您 存储 的 私有 密 钥 文 件 构成 。 它 们 共同 帮助 您 安全 地 连接 到 您 的 实例 。 
对 于 Windows AMI， 需 使 用 私有 密 钥 文件 获取 登录 实例 所 需 的 密码 。 对 于 Linux AMI， 私 有 密 钥 文件 让 您 
通过 SSH 安全 地 登录 实例 。 


注意 : 所 选 的 密 钥 对 将 添加 到 授权 为 此 实例 的 钥 对 组 。 了 解 更 多 关于 从 公有 AMI 去 除 现 有 的 密 钥 对 。 


选择 现 有 密 钥 对 e) 
选择 一 个 密 钥 对 
mykey S] 


回 我 确认 我 有 权 访 问 选 定 的 私有 密 钥 文件 (mykey.pem)， 并 且 如 果 没 有 此 文件 ， 我 将 无 法 登录 到 


我 的 实例 。 
取消 启 动 实例 


选择 密 钥 对 mykey ”选择 “选择 现 有 密 钥 对 ”选项 areReRMRe 


图 3-11 ”为 虚拟 服务 器 选择 一 个 密 钥 对 
庶 拟 服务 右 局 动 了 。 点 击 “ 和 查看 实例 ”来 打开 概 磺 ， 然 后 等 竺 虚拟 


ee 。 要 完全 控制 目 己 的 虚拟 服务 右 ， 用 户 需要 远 


3.1.2 ”连接 到 虚拟 服务 器 
用 户 可 以 远程 在 虚拟 服务 器 上 安装 额外 的 软件 及 运行 命令 。 要 登 
录 到 虚拟 服务 器 ， 用 户 要 找到 服务 器 的 公有 IP 地 址 。 


(1) 在 导航 栏 下 的 “服务 "中 点 击 EC2， 然 后 在 左边 子 荣 单 中 点 
Ta SEP BERS Bl ATU ARS ae TBE DL o 


(2) 在 表格 中 选择 虚拟 服务 器 。 图 3-12 展 示 了 服务 器 概览 以 及 可 
以 进行 的 操作 。 


(3) 点击“ 连接" 按钮， 打开 连 接 到 虚拟 服务 器 的 说 明 。 


(4) 图 3-13 展 示 了 连接 到 虚拟 服务 器 的 对 话 框 。 找 到 虚拟 服务 器 
的 公有 了 PP 地址 ， 例 如 ， 在 这 个 示例 中 为 52.205.115.207 ° 


帮助 连接 你 的 服务 器 控制 与 更 改 你 的 虚拟 服务 器 


CloucFormation 


wa R ueu E 连接 ”操作 otoo 
标签 Q 8 1213, 3 
报告 
限制 Name ~ 实例 ID * ”实例 类 型 ~ 可 用 区 ~ “实例 状态 ~ ”状态 检查 ~ 警报 状态 
国 。 myserver i-04cceb97d1e1de34f  t2.micro us-east-1d @ running O 2/2 的 检查 ... Æ % 
| 实例 irc - nodejs-a. \-07288da90e91f53fb t2.micro US-east-1a @ stopped 无 » 
竞价 请 求 irc - irc-server1 ”HHOxQ50f9647a890f5f  t2.micro us-east-1a @ stopped 无 号 
预 留 实例 
计划 实例 
专用 主机 
实例 :】i-04cceb97d1e1de34f (myservad 4AA DNS: ec2-54-205-115-207.compute-1.amazonaws.com a 
AMI 描述 状态 检查 iB ma 
nE 实例 ID 。 -04cceb9Xile1de34f 公有 DNS (IPv4) 。 ec2-54-205-115-207.compute- 
= EAST KORE 1.amazonaws.com 
% 实例 状态 。 running IPv4 公 有 IP 。 54.205.115.207 
快照 THAAD t2.micro IPv6IP - 
; 弹性 IP 私有 DNS ip-172-31-40-156.ec2.internal 
可 用 区 us-east-1d 私有 IP 172.31.40.156 


| 


显示 你 的 虚拟 服务 器 的 详细 信息 从 列表 中 选择 一 台 虚 拟 服务 器 来 查看 详细 信息 以 及 执行 操作 


图 3-12 ”虚拟 服务 器 概览 及 操作 探 各 


连接 到 您 的 实例 X 


我 希望 连接 到 O 一 个 独立 的 SSH 客户 端 
直接 从 我 的 浏览 器 连接 的 Java SSH 客户 端 (需要 安装 Java) 
要 访问 您 的 实例 : 


1. 打开 SSH 客户 端 。( 了 解 如 何 使 用 PuTTY 连接 ) 
2. 查找 您 的 私有 密 钥 文件 (mykey.pem)。 向 导 会 自动 检测 您 用 于 启动 实例 的 密 钥 。 
3. 您 的 密 钥 必须 不 公开 可 见 ，SSH 才能 工作 。 如 果 需 要 ， 请 使 用 此 命令 : 


chmod 400 mykey .pem 
4. 通过 其 公有 DNS 连接 到 您 的 实例 ; 


ec2-54-205-115-207.compute-1.amazonaws . com 


ssh -i "mykey.pem" ubuntu@ec2-54-205-115-207 .compute-1.amazonaws .com 


请 注意 ， 在 大 多 数 情况 下 ， 上 述 用 户 名 都 是 正确 的 ， 但 请 确保 您 已 阅读 了 AM 使 用 说 明 以 确定 
AMI 所 有 人 没有 更 改 默认 的 AMI 用 户 名 。 


如 果 您 在 连接 到 您 的 实例 方面 需要 任何 帮助 ， 请 参阅 我 们 的 链接 文档 。 


图 3-13 ”使 用 SSH 连 接 虚 拟 服务 器 的 说 明 


有 了 公有 了 IP 地 址 及 用 户 的 密 钥 ， 用 户 束 能 够 登录 虚拟 服务 做 了 。 
下 一 节 将 根据 我 们 的 操作 系统 及 本 地 机 器 来 继续 讲解 。 


1. Linux 和 Mac OS X 


打开 终端 ,， 输入 ssh -i $PathToKey/mykey.pem 
ubuntu@$PublicIp ， 使 用 在 1.8.3 节 中 下 载 的 密 钥 文件 的 路 径 蔡 换 
$PathToKey ， 使 用 在 AWS 管 理 控 制 台 的 连接 对 话 框 中 显示 的 公有 IP 
地 址 蔡 换 $PublicIp。 在 关于 新 主机 的 认证 的 安全 警告 处 回答 Yes 。 


2. Windows 


按 下 列 步 又 进行 操作 。 
(1) 找到 在 1.8.3 节 中 创建 的 mykey.ppk 文 件 ， 然 后 双击 打开 它 。 


(2) PuTTY Pageant 应 该 会 在 任务 条 中 显示 为 一 个 图 标 。 如 采 没 
有 ， 可 能 需要 按照 1.8.3 节 中 的 描述 安装 或 重新 安装 PuTTY 。 


(3) 启动 PuTTY。 填 写 AWS 管 理 控制 台 的 连接 对 话 框 中 显示 的 
公有 IP 地 址 ， 然 后 点 击 “Open”( 见 图 3-14) ° 


(4) 在 关于 新 主机 的 认证 的 安全 警告 处 回答 Yes， 然 后 输入 
ubuntu 作为 登录 名 ， 按 Enter 键 。 


| 虚拟 服务 器 的 公有 IP 地 址 


R PuTTY Configuration P 
Category: 

E Session | _ Basic options for your PuTTY session 

i `~ Logging Specify the destination you want to connect to 

E Host Name (or IP add P 
Keyboard lost Name (or IP address) ‘ort 
$. Bell 52.205.115.207 22 

i i.» Features Connection type: 

E- Window © Raw © Telnet © Rogn @SSH © Serial 
fe Lai Load, save or delete a stored session 
+- Behaviour 
+ Translation Saved Sessions 
i Selection 
i. Colours ; 

i Default Settings 

E Connection Lond 
~~ Data Save 
aoe 
i Telnet Delete | 
i- Rlogin 
由 -SSH 

Serial Close window on exit: 
© Always © Never  @ Only on clean exit 

About Help Open Cancel 


图 3-14 ”在 windows 上 使 用 PuTTY 连 接 虚 拟 服 务 器 


3. 登录 信息 


不 论 使 用 的 是 Linux、Mac OS Xi 还 是 Windows， 当 登录 成 功 后 用 户 
都 应 该 会 看 见 如 下 信息 : 


ssh -i ~/Downloads/mykey.pem ubuntu@52.4.216.201 

Warning: Permanently added '52.4.216.201' (RSA) to the list of 
known hosts. 

Welcome to Ubuntu 14.04.1 LTS (GNU/Linux 3.13.0-44-generic x86_64) 


* Documentation: https://help.ubuntu.com/ 
System information as of Wed Mar 4 07:05:42 UTC 2015 


System load: 0.24 Memory usage: 5% Processes: 83 
Usage of /: 9.8% of 7.74GB Swap usage: 0% Users logged in: 0 


Graph this data and manage this system at: 
https://landscape.canonical.com/ 


Get cloud support with Ubuntu Advantage Cloud Guest: 
http: //www.ubuntu.com/business/services/cloud 


© packages can be updated. 
© updates are security updates. 


The programs included with the Ubuntu system are free software; 
the exact distribution terms for each program are described in the 
individual files in /usr/share/doc/*/copyright. 


Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted 
by 
applicable law. 


~$ 


现在 我 们 已 经 连接 上 了 虚拟 服务 器 ， 为 运行 命令 做 好 了 准备 。 


3.1.3 “手动 安装 和 运行 软件 


我 们 已 经 启动 了 一 台 Ubuntu 操 作 系统 的 虚拟 服务 器 。 在 程序 包 管 
理 软件 apt 的 帮助 下 ， 我 们 很 容易 安装 额外 的 软件 。 作 为 开始 ， 我 们 
将 安装 一 个 叫 1inkchecker 的 小 工具 ， 它 能 让 我 们 找到 网 站 上 断裂 
的 链接 : 


$ sudo apt-get install linkchecker -y 


现在 束 可 以 检查 那些 指向 已 经 不 存在 的 网 站 的 超 链接 了 。 先 选择 
一 个 网 站 ， 然 后 运行 下 面 的 命令 : 


$ linkchecker https://... 


链接 检查 的 结 采 看 上 去 像 下 面 这 样 显示 : 


URL "http://www. linux-mag.com/blogs/fableson' 
"Frank Ableson's Blog' 
Parent URL http://manning.com/about/blogs.html, line 92, col 27 
Real URL http://www. 1linux-mag.com/blogs/fableson 
Check time 1.327 seconds 
Modified 2015-07-22 09:49:39.000000Z 
Result Error: 404 Not Found 


URL '/catalog/dotnet' 

Name "Microsoft & .NET' 

Parent URL http://manning.com/wittig/, line 29, col 2 

Real URL http://manning.com/catalog/dotnet/ 

Check time 0.163 seconds 

D/L time 0.146 seconds 

Size 37. 55KB 

Info Redirected to 'http://manning.com/catalog/dotnet/'. 
235 URLS parsed. 

Modified 2015-07-22 01:16:35.000000Z 

Warning [http-moved-permanent] HTTP 301 (moved permanent ) 
encountered: you should update this link. 

Result Valid: 200 OK 

[...] 


根据 网 页 数量 的 不 H, Px) EREA HEY RREA BYP 
S 最 终 它 会 列 出 所 有 断裂 的 链接 ， 给 用 户 机 会 找到 
BR EÍ 


3.2 ”监控 和 调试 虚拟 服务 器 


如 采用 户 需要 找到 应 用 出 错 或 异 音 的 原因 ， 使 用 工具 来 帮助 监控 
和 调试 加 很 重要 了 “。AWS 提 供 了 工具 来 让 用 户 监控 和 调试 目 己 的 虚拟 
服务 器 。 其 中 有 一 种 方法 是 检查 虚拟 服务 器 的 日 志 。 


3.2.1 显示 虚拟 服务 器 的 日 志 


假如 用 户 需要 找 出 目 己 的 虚拟 服务 大 在 局 动 时 及 局 动 后 做 了 些 什 
么 ， 有 一 个 简单 的 解决 方案 。AWS 人 允许 用 户 使 用 管理 控制 台 (就 是 用 


来 启动 和 关闭 虚拟 服务 器 的 网 络 交 互 界面 ) 显示 服务 器 的 日 志 。 用 户 
可 按 下 面 的 步 又 打开 虚拟 服务 郁 日 志 。 


(1) 在 主导 航 栏 中 打开 EC2， 然 后 从 子 菜 单 中 选择 “实例 ”。 
(2) 在 表 中 点 击 一 行 ， 以 选择 正在 运行 的 虚拟 服务 器 。 
(3) 在 “操作 ”菜单 中 ， 选 择 “ 实 例 设 置 " “获取 系统 日 志 ”。 


”此 时 会 打开 一 个 窗口 ， 然 后 显示 从 虚拟 服务 器 得 到 的 系统 日 志 ， 
这 些 日 志 通 常 在 启动 期 间 显示 在 一 台 物 理 监视 器 上 ( 见 图 3-15) 


System Log: i-2a08a583 (myserver) K 


图 3-15 ”在 日 志 的 帮助 下 调试 一 台 虚 拟 服务 器 


这 是 一 个 简单 、 有 效 的 访问 用 户 的 服务 器 系统 日 志 ， 并 且 它 不 需 
要 SSH 连 接 。 注 意 ， 在 日 志 查 看 器 上 显示 一 条 日 志 信 息 可 能 会 需要 人 花 
费 几 分 钟 。 


3.2.2 ”监控 虚拟 服务 絮 的 负载 


AWS 能 帮助 用 户 回 答 这样 的 问题 : “我 的 虚拟 服务 秦 利 用 情况 征 
人 否 接 近 了 它 的 最 大 容量 ? FE RAPPORT ARS ASH ITEP © 


(1) 在 主导 航 栏 中 打开 EC2， 然 后 从 子 菜 单 中 选择 “实例 ”。 
(2) 点 击 表 中 的 一 行 以 选择 正在 运行 的 虚拟 服务 器 。 


(3) 选择 右 下 角 的 “监控 ”标签 页 。 
(4) 点 击 “ 网 络 输入 "来 查看 详细 信息 。 


用 户 将 看 到 一 张 图 ， 它 展示 了 虚拟 服务 器 的 流入 网 络 流量 的 利用 
率 ， 如 图 3-16 所 示 。 有 一 些 关 于 CPU 使 用 量 、 网 络 使 用 量 和 硬盘 使 用 
量 的 指标 ， 但 是 没有 内 存 使 用 量 的 指标 。 如 采用 户 使 用 基本 监控 ， 这 
些 指标 每 5 min 更 新 一 次 ; 如 采用 户 对 目 己 的 虚拟 服务 器 局 用 详细 监 
n min 更 新 一 次 。 对 一 些 实例 类 型 来 说 ， 详 细 监 控 会 产 
费用 


指标 和 日 志 将 帮助 用 户 监控 和 调试 目 己 的 虚拟 服务 器 。 这 两 个 工 
具 都 能 帮助 用 户 确保 目 己 在 以 高 效率 的 方式 提供 高 质量 的 服务 。 


CloudWatch 监控 详细 信息 x 
网 络 输入 ( 字 节 ) 统计 数据 : 平均 值 局 时 间 范 围 : ”最 近 1 小 时 网 周期 : 5 分 钟 i 心 
6 
02 15 03:20 
i-04cceb9. 


图 3-16 ”使 用 CloudWatch 指 标 深入 分 析 一 台 虚 拟 服务 器 的 流入 网 络 流量 


3.3 RARER as 


为 避免 产生 费用 ， 用 户 应 该 总 是 关闭 不 用 的 虚拟 服务 器 。 用 户 可 
以 使 用 以 下 4 个 操作 来 控制 一 台 虚 拟 服务 万 的 状态 。 


。 开局 一 一 用 户 总 是 能 够 开局 一 台 停 止 的 虚拟 服务 右 。 如 采用 户 需 
要 创建 一 台 全 新 的 服务 器 ， 束 需要 局 动 一 台新 的 虚拟 服务 器 。 

。 停止 一 一 用 户 总 是 能 够 停止 一 台 正 在 运行 的 虚拟 服务 硕 。 一 人 台 俘 
止 了 的 虚拟 服务 闫 不 会 被 收取 费用 ， 并 且 可 以 再 次 被 开局 。 如 采 
用 户 在 使 用 网 络 附加 存储 ， 用 户 的 数据 将 被 保存 。 一 个 停止 了 的 
ee 

重启 一 一 如 果 用 户 需 要 重启 自己 的 虚拟 服务 器 ， 这 个 操作 非常 有 


帮助 。 用 户 不 会 在 重 局 时 丢失 任何 数据 ， 而 且 所 有 的 软件 在 重 局 
后 仍 会 保持 被 安装 了 的 状态 。 

终止 一 一 终止 一 台 虚 拟 服 务 希 意味 着 删除 它 。 用 户 不 能 再 次 开局 
一 全 已 经 终止 了 的 虚拟 服务 器。 虚拟 服务 右 被 删除 了 ， 同 时 被 删 
除 的 还 有 其 依赖 项 (如 网 络 附加 存储 和 公有 与 私有 IP 地 址 。 被 
终止 了 的 虚拟 服务 郁 不 会 再 产生 费用 。 


停止 与 终止 一 台 虚 拟 服务 器 的 区 别 很 重要 。 用 户 可 以 启动 一 台 已 经 停止 的 虚拟 服务 
器 ， 但 部 不 能 启动 一 全 已经 终止 的 开 所 服务器。 如 果 用 户 终止 了 一 全 记 所 服务 路， 则 意味 
它 删除 了 。 


，。 因 3-17 所 示 为 采用 流程 图 展示 了 停 上 与 终止 一 各 成 拟 服 务 器 的 区 
别 。 


总 是 可 以 停止 一 台 正 在 运行 的 服务 器 或 开启 一 台 已 停止 的 服务 器 


正在 运行 停止 已 停止 开启 >| ”正在 运行 ak >| CAE 
正在 运行 终止 >| 已 终止 开启 > 
A 
Fi 


l 
不 能 再 次 开启 一 台 已 终止 的 虚拟 服务 器 


图 3-17 ”停止 与 终止 一 台 虚 拟 服务 器 的 区 别 


集 止 或 终止 不 用 的 虚拟 服务 器 能 省 钱 且 防止 从 AWS 收 到 意外 的 账 
单 。 如 采用 户 为 一 个 短期 任务 局 动 一 全 虚拟 服务 右 ， 别 二 了 创建 一 个 
终止 提醒 。 当 用 户 终止 了 一 人 台 虚 拟 服务 亏 之 后 ， 这 合 服务 郁 台 不 再 可 
用 ， 而 且 最 终 会 从 虚拟 服务 器 列表 中 消失 。 


终止 在 本 章 开始 时 启动 的 虚拟 服务 器 myserver ° 

(1) 在 主导 航 栏 中 打开 EC2， 在 子 菜单 中 选择 “实例 ”。 

(2) 点 击 表 中 的 一 行 以 选择 正在 运行 的 这 台 虚 拟 服务 器 (myserver) e 
(3) 在 “操作 ”菜单 中 ， 选 择 “ 实 例 状 态 ”- “终止 ”。 


34 ”更 改 虚 拟 服 务 器 的 容量 


用 户 总 是 可 以 更 改 一 台 虚 拟 服务 器 的 容量 。 这 是 云 的 优势 之 一 ， 
它 给 了 用 户 垂直 扩展 的 能 力 。 如 果 用 户 需要 更 多 的 计算 能 力 ， 还 可 以 
增加 服务 器 的 容量 。 


在 本 划 中 ， 我 们 将 学 习 如 何 更 改 一 台 正 在 运行 的 虚拟 服务 器 的 容 
量 。 前 完 ， 让 我 们 按 下 面 的 步 又 来 局 动 一 台 小 的 虚拟 服务 器 


(1) 打开 AWS 管 理 控 制 台 ， 选 择 EC2 。 
(2) 打开 向 导 ， 点 击 “ 启 动 实例 ”按钮 来 启动 一 台新 的 虚拟 服务 


(3) 选择 “Ubuntu Server 16.04 LTS(HVM)” 作 为 虚拟 服务 器 的 


(4) 选择 实例 类 型 为 t2.micro 。 
(5) 点 击 “ 审 核 和 启动 ”来 启动 虚拟 服务 器 。 
(6) 检查 新 虚拟 服务 器 的 汇总 信息 ， 然 后 点 击 “ 启 动 ”按钮 。 


(7) 选择 “选择 现 有 密 钥 对 ?选项 ， 选 择 密 钥 对 mykey， 然 后 点 
击 “ 启 动 实例 ”。 


(8) 切换 到 EC2 实 例 概 览 ， 然 后 等 竺 新 虚拟 服务 器 的 状态 变 为 


Running。 


我 们 已 经 启动 了 一 台 实 例 类 型 为 t2.micro 的 虚拟 服务 器 。 这 是 AWS 
上 可 用 的 最 小 的 虚拟 服务 器 之 一 。 


使 用 SSH 连 接 到 我 们 的 服务 器 上 ， 如 3.3 节 所 述 ， 然 后 执行 cat 
/proc/cpuinfo 以 及 free -m 来 获取 服务 器 的 CPU 和 内 存 信 息 。 输 
出 应 该 如 下 所 示 : 


$ cat /proc/cpuinfo 


processor : 0 
vendor_id : GenuineIntel 
: 6 
: 62 
model name : Intel(R) Xeon(R) CPU E5-2670 v2 @ 2.50GHz 
stepping : 4 
microcode : 0x416 
cpu MHz : 2500.040 
cache size : 25600 KB 
Lass] 


$ free -m 

total used free shared buffers cached 
Mem: 992 247 744 0 8 191 
-/+ buffers/cache: 48 944 
Swap: 0 0 0 


我 们 的 虚拟 服务 器 可 以 使 用 一 个 CPU 核 并 提供 992 MB 内 存 。 
如 果 用 户 需要 更 多 的 CPU、 更 多 的 内 存 或 者 更 多 的 网 络 容量 ， 有 
很 多 可 以 选择 的 容量 。 用 户 甚 至 可 以 修改 虚拟 服务 器 的 实例 家 族 与 版 
本 。 要 增加 自己 的 虚拟 服务 器 的 容量 ， 首 先 要 停止 它 。 
(1) 打开 AWS 管 理 控制 台 ， 然 后 选择 EC2。 
(2) 在 子 菜单 中 选择 “实例 ”， 页 面 会 跳 转 到 虚拟 服务 器 的 概览 。 
(3) 在 列表 中 点 击 选 择 正在 运行 的 虚拟 服务 器 。 
(4) 在 “操作 ”菜单 中 选择 “实例 状态 ” “停止 ”。 
等 到 虚拟 服务 器 停止 后 ， 我 们 可 以 更 改 实例 类 型 : 


(1) 在 “操作 ”菜单 的 “实例 设置 ”中 选择 “更 改 实例 类 型 *。 如 图 3- 
18 所 示 ， 将 打开 一 个 对 话 框 ， 可 以 在 这 个 对 话 框 中 为 虚拟 服务 器 选择 
新 的 实例 类 型 。 


更 改 实例 类 型 x 


实例 ID i-04cceb97d1e1de34f 
实例 类 型 m3.large K 
EBS 优化 


取消 Mii 


图 3-18 ”为 实例 类 型 选择 m3.large 来 增加 虚拟 服务 器 容量 
(2) 在 “实例 类 型 ”中 选择 m3.large。 
(3) 点 击 “ 应 用 ”按钮 以 保存 所 做 的 更 改 。 
现在 我 们 已 经 更 改 了 虚拟 服务 器 的 容量 ， 并 准备 好 再 次 开启 它 


。 如果 想 知 道 一 台 m3.large 的 


全 


启动 一 台 实 例 类 型 为 m3.large 的 虚拟 服务 器 将 会 产生 费用 
虚拟 服务 器 的 当前 每 小 时 价格 ， 可 以 访问 AWS 官 方 网 站 。 


要 做 到 这 一 点 ， 选 择 虚 拟 服务 器 并 旦 在 “操作 ”菜单 中 的 “实例 状 
态 ” 下 选择 “启动 ”。 虚 拟 服务 器 将 会 有 更 多 的 CPU、 更 多 的 内 存 和 更 多 
的 网 络 能 力 。 公 有 与 私有 了 PP 地址 也 发 生 了 变化 。 获 取 新 的 公有 了 PP 地址 
用 以 通过 SSH 重 新 连接 ， 在 虚拟 服务 器 的 详细 信息 视图 中 可 以 找到 
已 o 

使 用 SSH 连 接 我 们 的 服务 器 ， 然 后 再 次 执行 cat 
/proc/cpuinfo5free -m 来 获取 它 的 CPU 与 内 存 信息 。 输 出 结果 
如 下 所 示 : 


$ cat /proc/cpuinfo 
processor : 0 
vendor_id : GenuineIntel 


cpu family : 6 
model : 62 
model name : Intel(R) Xeon(R) CPU E5-2670 v2 @ 2.50GHz 
stepping : 4 
microcode : 0x415 
cpu MHz : 2494.066 
cache size : 25600 KB 
Diag Gl 
processor i a 
vendor_id : GenuineIntel 
cpu family : 6 
model : 62 
model name : Intel(R) Xeon(R) CPU E5-2670 v2 @ 2.50GHz 
stepping : 4 
microcode : 0x415 
cpu MHz : 2494.066 
cache size : 25600 KB 
[...] 
$ free -m 
total used free shared buffers cached 
Mem: 7479 143 7336 0 6 49 
-/+ buffers/cache: 87 7392 
Swap: O 0 0 


我 们 的 虚拟 服务 器 能 够 使 用 两 个 CPU 并 提供 7479 MB 的 内 存 。 与 
之 前 单个 CPU 和 992 MB 的 内 存 容 量 相 比 ， 我 们 增加 了 这 台 服 务 絮 的 容 


Hoe 


终止 实例 类 型 为 m3.large 的 这 人 台 虚 拟 服务 器 ， 以 停止 为 它 付 费 。 
(1) 在 主导 航 栏 中 打 
(2) 在 表 


中 点 击 这 人 台 正 在 运行 的 虚拟 服务 器 以 选中 它 。 


(3) 在 “操作 ”菜单 中 选择 “实例 状态 ”- “ZR IE” o 


EC2， 并 在 子 菜 单 中 选择 “实例 ”。 


3.5 ”在 男 一 个 数据 中 心 开 启 虚拟 服务 器 


AWS 为 全 球 提供 数据 中 心 。 要 使 互联 网 上 的 请 求 获得 低 延 迟 ， 为 
主要 用 户 选 择 一 个 最 近 的 数据 中 心 是 很 重要 的 。 更 改 数据 中 心 很 简 
单 。 管 理 控制 台 会 显示 用 户 目 前 正在 工作 的 数据 中 心 ， 位 于 主导 航 栏 
的 右边 。 目 前 为 止 ， 我 们 使 用 的 都 是 弗吉尼亚 北部 的 数据 中 心 ， 称 为 
us-east-1。 要 变更 数据 中 心 ， 点 击 弗吉尼亚 北部 ， 然 后 在 菜单 中 选择 
亚太 区 域 (悉尼 ) (Sydney) 。 图 3-19 展 示 了 如 何 跳 转 至 Sydney 的 被 
称 作 为 ap-southeast-2 的 数据 中 心 。 


正在 工作 的 区 域 


DemoUser ~ 


| 美国 东部 (弗吉尼亚 北部 ) 
美国 东部 (HAH) 
美国 西部 (加利福尼亚 北部 ) 
美国 西部 (俄勒冈 ) 
加 拿 大 (中 部 ) 
欧洲 (爱尔兰 ) 
欧洲 (法 兰 克 福 ) 
欧洲 (伦敦 ) 
亚太 区 域 新加坡 ) 
TAR (BE) 
| 亚太 区 域 首尔 ) 


\ 亚太 区 域 (东京 ) 


(孟买 ) 
南美 洲 (圣保罗 ) 


\ 
| 
\ 


\ 


~ | 


选择 亚太 区 域 (悉尼 ) 
作为 当前 工作 的 区 域 。 


图 3-19 “在 管理 控制 台中 将 数据 中 心 从 弗吉尼亚 北部 改 为 悉尼 
AWS 将 它 的 数据 中 心 按 以 下 的 区 域 进行 分 组 : 


亚太 区 域 (东京 ) (Asia Pacific, Tokyo, ap-northeast-1) ; 
欧洲 〈 法 兰 克 福 ) (EU, Frankfurt, eu-central-1) 

美国 东部 (弗吉尼亚 北部 ) (US East, N. Virginia, us-east-1) ; 
加 拿 大 (FRB) (Canada, Central, ca-central-1) 

亚太 区 域 (H/K) (Asia Pacific, Seoul, ap-northeast-2) ; 
欧洲 (RÆ) (EU, Ireland, eu-west-1) 

美国 东部 (RAK) (US East, Ohio, us-east-2) ; 

南美 洲 (圣保罗 ) (South America, Sao Paulo, sa-east-1) ; 
亚太 区 域 “新加坡 ) (Asia Pacific, Singapore, ap-southeast- 


1) ; 
欧洲 (伦敦 ) (EU, London, eu-west-2) ; 
美国 东部 DFE Ate) (US West, N. California, us-west- 


1) ; 

亚太 区 域 (悉尼 ) (Asia Pacific, Sydney, ap-southeast-2) ; 
亚太 区 域 (mÆ) (Asia Pacific, Mumbai, ap-south-1) ; 
美国 西部 RIX) (US West, Oregon, us-west-2) 


用 户 可 以 为 大 多 数 AWS 服 务 指定 区 域 。 各 个 区 域 则 是 完全 独立 
的 ， 数 据 不 在 区 域 间 传输 。 上 典型 情况 下 ， 一 个 区 域 由 两 个 或 更 多 位 于 
同一 地 区 的 数据 中 心 组 成 。 这 些 数据 中 心间 有 着 很 好 的 连接 ， 它 们 能 
提供 高 可 用 的 基础 架构 ， 本 书 稍 后 会 介绍 。 一 些 AWS 服 务 ， 如 内 容 分 
发 网 络 (content delivery network，CDN) 服务 以 及 域名 系统 (Domain 
ae System, DNS) 服务 ， 是 在 这 些 区 域外 的 数据 中 心 之 上 全 球 运 
行 的 。 


当 切 换 到 管理 控制 台 的 EC2 服 务 后 ， 用 户 可 能 想 知 道 为 什么 EC2 
概览 中 没有 列 出 任何 密 钥 对 。 我 们 为 SSH 登 录 在 区 域 “ 美 国 东部 GEA 
尼 亚 北 部 ) ?创建 了 一 对 密 铀 。 但 是 ， 区 域 间 是 独立 的 ， 所 以 我 们 必须 
为 区 域 亚太 区 域 (悉尼 ) 创建 一 对 新 的 密 钥 对 。 请 按 以 下 步骤 操作 

(更 多 细节 参见 1.2 节 ) 


(1) 在 主导 航 栏 中 打开 EC2 服 务 ， 然 后 在 子 菜单 中 选择 “ 密 钥 


mye 
(2) 点 击 “ 创 建 密 钥 对 ”， 在 密 钥 对 名 称 处 输入 Sydney 。 
(3) 下 载 并 保存 密 钥 对 。 


(4) 仅 对 Windows: 打开 PuTTYgen， 然 后 在 “Type of Key to 
Generate” 中 选择 SSH-2 RSA。 点 击 Load。 选 择 sydney.pem 文 件 并 点 击 
打开 。 在 对 话 框 中 选择 确定 。 点 击 Save Private Key ° 


(5) 仅 对 Linux 和 0OS X: 在 控制 台 运 行 chmod 400 
sydney .pem 来 改变 文件 sydney.pem 的 访问 权限 。 


我 们 已 经 准备 好 在 Sydney 的 数据 中 心 开 局 一 全 虚拟 服务 名 了 。 用 
户 可 按 以 下 步 又 操作 。 


(1) 从 主导 航 栏 中 打开 EC2 服 务 ， 然 后 从 子 菜 单 中 选择 “实例 ”。 
(2) 点 击 “ 局 动 实例 ”， 打 开 一 个 向 导 ， 它 会 开启 一 台新 的 虚拟 服 


g 


Fan ° 


(3) 选择 Amazon Linux AMI (HVM) machine 上 映像 。 


(4) 选择 t2.micro 作 为 实例 类 型 ， 然 后 点 击 “ 审 核 和 启动 ”的 快捷 
TARF A AERA A 


(5) 点 击 “ 编 辑 安全 组 ”来 配置 防火 墙 。 更 改 “ 安 全 组 名 字 ” 为 
webserver, “描述 "为 HTTP 和 SSH。 深 加 一 条 类 型 为 SSH 的 规则 以 及 田 
一 条 类 型 为 HTTP 的 规则 。 对 这 两 条 规则 ， 定 义 0.0.0.0/0 作为 源 ， 
从 而 允许 从 任何 地 方 访问 SSH 和 HTTP。 防 火 墙 配置 应 该 如 图 3-20 所 
示 。 点 击 “ 审 核 和 启动 ”按钮 。 


(6) 点 击 “ 启 动 "， 然 后 选择 sydney 作 为 已 经 存在 的 密 钥 对 ， 来 开 
局 虚拟 服务 器 。 


(7) 点 击 “ 碍 看 实例 ”切换 到 虚拟 服务 器 概览 ， 然 后 等 待 新 虚拟 服 


务 器 局 动 。 


完成 了 ! 一 台 虚 拟 服务 器 在 Sydney 的 数据 中 心 运 行 起 来 了 。 让 我 
们 继续 在 上 面 安装 一 个 网 络 服务 右 。 有 要 这 样 做 ， 我 们 必须 通过 SSH 连 
接 到 虚拟 服务 器 。 从 评 细 信息 页 抓 取 虚拟 服务 如 的 当前 公有 IP 地 址 。 


打开 终端 ， 输 入 ssh -i $PathToKey/sydney.pem ec2- 
user@$PublicIp ， 使 用 下 载 的 密 钥 文件 sydney.pem 的 路 径 蔡 换 


$PathToKey ， 使 用 虚拟 服务 器 详细 信息 中 的 公有 了 JP 地 址 替换 
$PublicIp 。 对 关于 新 主机 的 认证 安全 警告 回答 Yes。 


在 建立 了 SSH 会 话 之 后 ， 用 户 可 以 通过 执行 su do yum install httpd 
-y 安 装 一 个 默认 网 路 服务 器 。 要 启动 这 个 网 络 服务 器 ， 输 入 sudo 
service httpd start , PEE Ener PUTAN NA 。 如 果 用 户 
打开 http:/$PublicIp 并 使 用 自己 的 虚拟 服务 器 的 公有 卫 替 换 $PublicTp ， 
网 络 浏览 器 应 该 会 显示 一 个 占 位 网 站 。 


找到 在 下 载 新 密 钥 对 后 创建 的 sydneyppk 文 件 ， 然 后 双击 打开 它 。PuTTY Pageanth i% 


| 会 在 任务 栏 中 显示 为 一 个 图 标 。 接 下 来 ， 局 动 PuTTY， 然 后 连接 到 虚拟 服务 器 详细 信息 中 
| 的 公有 了 PP 地址 。 对 关于 新 主机 的 认证 安全 警告 回答 Yes， 然 后 输入 ec2 -user 作为 登录 名 ， 
| 按 Enter 键 。 


人 @ 更 改名 称 与 描述 


5, MANOR 


6. 配置 安全 组 7. Wik 


步骤 6 
安全 组 是 一 组 防火 墙 规则 ， 用 于 控制 针对 您 的 实例 的 流量 。 在 此 页 面 上 ， 您 可 以 添加 规则 来 允许 到 达 您 的 实例 的 特定 流量 。 例 如 ， 如 果 您 希望 设置 一 个 Web 服务 器 ， 并 允许 Internet 流量 到 达 您 的 实例 ， 
请 添加 相应 的 规则 来 允许 不 受 限制 地 访问 HTTP 和 HTTPS 端口 。 您 可 以 创建 一 个 新 的 安全 组 或 从 下 面 选 择 一 个 现 有 的 安全 组 。 了 解 更 多 有 关 Amazon EC2 安全 组 的 信息 。 

分 配 安全 组 : 全 创建 一 个 新 安全 组 

选择 一 个 现 有 的 安全 组 


安全 组 名 称 : webserver 
描述 HTTP and SSH 
类 型 i 协议 i 端口 范围 i 来 源 i 
SSH B TCP 22 aex f 000.00 @ 
HTTP ij TCP 80 agx E 0.0.0.0/0, :0 @ 
添加 规则 
A 85 


设置 为 0.0.0.0/0 LD SLIT ATA IP 地 址 访问 您 的 接口 。 我 们 建议 将 安全 组 规则 设置 为 仅 允许 从 已 知 的 IP 地 址 进行 访问 。 


RA b- Bor 


Qan @ 中 文 (简体 ) 


@ 添 加 一 条 规则 允许 从 任何 地 方 进行 HTTP 请 求 全 点 击 这 里 继续 


图 3-20 ”为 Sydney 的 网 络 服务 器 配置 防火 二 


EK 


在 本 章 中 ， aN 两 种 不 同 的 操作 系统 。 在 本 章 开 始 的 时 候 我 们 启动 了 一 台 基 于 


Ubuntu 的 虚拟 服务 器 ， 现 在 使 用 Amazon Linux， 一 个 基于 Red Hat Enterprise Linux 的 发 行 版 


使 用 yum 。 


| 本 。 这 就 是 要 执行 不 同 的 命令 来 安装 软件 的 原因 。Ubuntu 使 用 apt -get , if Amazon Linux 


接 下 来 ， 我 们 将 关联 一 个 固定 公有 IP 地 址 到 虚拟 服务 器 。 


3.6 ”分 配 一 个 公有 IP 地 址 


在 阅读 本 书 时 我 们 已 经 启动 了 一 些 虚 拟 服务 器。 每 个 虚拟 服务 器 
都 自动 连接 到 一 个 公有 IP 地 址 。 但 是 ， 每 次 启动 或 停止 一 台 虚 拟 服 务 
器， 公有 了 下地 址 就 改变 了 。 如 果 想 要 用 一 个 固定 了 地址 运行 一 个 应 用 
程序 ， 这 样 做 就 不 可 行 了 。AWS 提 供 一 项 服务 叫 作 弹性 IP 地 址 
(Elastic IP address) 来 分 配 固 定 的 公有 耳 地 址 。 


用 户 可 以 使 用 以 下 步骤 来 分 配 并 关联 一 个 公有 了 IP 地 址 到 一 合 虚 拟 
网 络 服务 器 上 。 


(1) 打开 管理 控制 台 ， 并 打开 EC2。 


(2) 从 子 菜单 中 选择 “弹性 IP”。 用 户 将 看 见 一 个 公有 了 P 地 址 的 总 
览 ， 如 图 3-21 所 示 。 


和 @ 点 击 为 你 的 账户 分 配 
一 个 新 的 公有 IP 地 址 。 操作 一 个 固定 的 公有 IP 地 址 合 列 出 你 的 账户 所 关联 的 固定 公有 IP 地 址 


限制 B atr + #20 实例 私有 IP 地 址 - 2m - 公有 DNS -网 络 接口 ID 


SMAR 
预 留 实例 
专用 主机 
弹性 IP: 52.64.75.47 an 
BAITS 描述 
卷 弹性 2.64.7: joc-bdafb 
快照 实例 HR IP 地 址 
范围 vpe Associatie 

公有 网 络 接 

安全 组 网 络 接 口 所 有 者 


= 


Q aR @ 中 文 简体 82008 - 2017, Amazon Web Services, mc 或 其 子 公司 保留 所 有 权利 。 。 隐私 策略 使 用 条 款 


人 @ 点 击 “ 弹 性 IP” 来 管理 固定 静态 IP 


CLE 
E 


图 3-21 APRIS eS Bi RA A A PHE 


(3) 点 击 “ 分 配 新 地 址 ”来 分 配 公 有 IP 地 址 。 
现在 我 们 可 以 为 目 己 选 择 的 一 台 虚 拟 服务 天 关联 公有 了 PP 地址 。 


(1) 选择 自己 的 公有 IP 地 址 ， 然 后 在 “操作 ”菜单 中 选择 “关联 地 
址 ”， 将 显示 一 个 图 3-22 所 示 的 对 话 框 。 


(2) 在 “实例 ”项 中 输入 虚拟 服务 器 的 实例 ID。 网 络 服务 器 是 此 时 
唯一 正在 运行 的 虚拟 服务 器 ， 所 以 可 以 输入 i- 并 使 用 自动 完成 来 选择 
服务 器 ID。 

(3) 点 击 “ 关 联 ? 来 完成 这 一 流程 。 


现在 我 们 的 虚拟 服务 器 可 以 通过 在 本 广 开 头 分 配 的 公有 IP 地 址 来 
了 。 将 浏览 器 指 同 这 一 JP 地 址 ， 我 们 将 看 到 如 3.5 市 所 做 的 占 位 页 


如 采用 户 必 须 确保 目 己 的 应 用 的 端点 不 变化 ， 甚 至 当 不 得 不 蕉 换 
后 台 的 虚拟 服务 器 时 ， 分 配 公 有 IP 地 址 变 得 很 有 用 。 例 如 ， 假 设 虚 拟 
服务 器 A 正 在 运行 并 且 关 联 了 一 个 弹性 耳 地址 。 接 下 来 的 步骤 能 让 用 
性 将 虚拟 服务 器 礁 换 成 一 台新 的 而 不 需要 中 断 服务 。 
(1) 启动 一 台新 的 虚拟 服务 器 B 用 以 替换 正在 运行 的 服务 器 A。 
(2) 在 虚拟 服务 器 B 上 安装 并 启动 应 用 以 及 所 有 的 依赖 项 。 


(3) 从 虚拟 服务 器 A 解除 弹性 IP 关 联 ， 并 将 它 关 联 到 虚拟 服务 器 


选择 虚拟 服务 器 的 ID 。 


警告 
如 果 您 将 弹性 IP 地 址 与 您 的 实例 关联 ， 则 将 释放 当前 弹性 IP 地 址 。 了 解 有 关 弹 性 IP 地 址 的 更 多 信息 。 


* 必 填 取消 E3 


3-22 ”为 网 络 服务 器 关联 一 个 公有 了 p 地 址 
ee ee eee Me 


ALP + ay DA 2 TS 2 ee RRS PE AIP HEE — A EM 
IRA ar 正如 3.7 节 中 所 描述 的 。 如 采用 户 需 要 在 同一 端口 运行 不 同 的 
Cn 的 固定 的 公有 了 PP 地址 ， 这 会 很 有 


IPv4 地 址 是 稀缺 资源 。 为 了 防止 浪费 弹 性 IP 地 址 ，AWS 将 对 没有 关联 到 任何 服务 器 的 


弹性 下地 址 收费 。 我 们 将 在 3.7 节 结束 时 清除 所 分 配 的 卫 地 址 。 


3.7 ” 癌 虚 拟 服务 器 添加 额外 的 网 络 接口 


除了 管理 公有 IP 地 址 ， 用 户 还 能 够 控制 目 己 的 虚拟 服务 器 的 网 络 
接口 。 用 户 可 以 同一 台 虚 拟 服务 右 添 加 多 个 网 络 接口 ， 并 且 探 制 关 联 
到 这 些 网 络 接口 的 私有 IP 地 址 和 公有 IP 地 址 。 用 户 可 以 使 用 额外 的 网 
络 接口 关联 第 二 个 公有 耳 地 址 到 自己 的 虚拟 服务 器 上 。 


用 户 可 以 按 下 面 的 步骤 来 为 自己 的 虚拟 服务 器 创建 一 个 额外 的 网 
络 接口 ( 见 图 3-23) ° 


(1) 打开 管理 控制 台 并 跳 转 至 EC2 服 务 。 

(2) 在 子 菜单 中 选择 “网 络 接口 ?。 

(3) 点 击 * 创 建 网 络 接口 >， 会 弹出 一 个 对 话 框 。 
(4) 输入 2nd interface 作为 描述 。 


(5) 选择 自己 的 虚拟 服务 器 的 子 网 作为 新 的 网 络 接口 的 子 网 ， 用 
尸 能 在 实例 总 览 中 目 己 的 服务 器 的 评 细 视图 中 找到 这 个 子 网 信息 。 


(6) 让 “私有 IP” 地 址 保持 为 空 。 


创建 网 络 接口 x 


图 3-23 ”为 虚拟 服务 器 创建 额外 的 网 络 接口 
(7) 选择 在 其 描述 中 有 webserver 的 “安全 组 ”。 
(8) 点 击 “ 是 ， 请 创建 ”。 
当 新 的 网 络 接口 的 状态 变 为 Available， 用 户 可 以 将 它 附 加 到 自己 
的 虚拟 服务 器 。 选 择 新 的 网 络 接口 2nd Interface ， 然 后 在 菜单 中 


选择 “附加 ”， 会 弹出 一 个 对 话 框 ， 如 图 3-24 所 示 。 远 择 正 在 运行 的 虚 
拟 服务 絮 的 ID， 然 后 点 击 “ 附 加 ”按钮 。 


附加 网 络 接口 


网 结 接 口 : eni-2c8c3256 


实例 ID: | i-07c45847581165769 (running) 四 


> Ea 


图 3-24 ”附加 额外 的 网 络 接口 至 虚拟 服务 器 


我 们 已 经 附加 了 一 个 额外 的 网 络 接口 至 目 己 的 虚拟 服务 器 。 接 下 
来 ， 我 们 将 关联 一 个 额外 的 公有 JP 地 址 到 这 个 额外 的 网 络 接口 。 要 这 
样 做 ， 先 记录 在 总 金 中 显示 的 这 个 额外 网 络 接 口 的 网 络 接 口 D， 然 后 
按照 下 面 的 步 又 进行 操作 。 


(1) 打开 管理 控制 台 且 转 到 EC2 服 务 。 
(2) 从 子 荣 单 中 选择 “弹性 ITP”。 


(3) 点 击 “ 分 配 新 地 址 ”来 分 配 一 个 新 的 公有 了 P 地 址 ， 如 在 3.6 世 中 
所 做 的 。 


(4) 从 “操作 ”菜单 中 选择 “关联 地 址 *"， 然 后 将 它 链接 到 刚才 
网 络 接口 ”中 输入 网 络 接口 ID 所 创建 的 额外 的 网 络 接口 ( 见 图 3- 
25) 9 


现在 虚拟 服务 器 可 以 通过 两 个 不 同 的 公有 TIP 地 址 来 访问 了 。 这 样 
用 户 可 以 根据 公有 IP 地 址 提供 两 个 不 同 的 网 站 服务 。 我 们 需要 配置 网 
络 服务 絮 来 根据 公有 IP 地 址 来 应 答 请 求 。 


在 使 用 SSH 连 接 到 我 们 的 虚拟 服务 器 ， 并 且 在 终 闻 输入 
ifconfig 之 后 ， 束 能 看 见 自己 的 新 网络 接口 的 加 到 了 成 拉 服 务 器 
上 ， 代 码 如 下 所 未: 


$ ifconfig 
etho Link encap:Ethernet HWaddr 12:C7:53:81:90:86 
inet addr:172.31.1.208 Bcast:172.30.0.255 
Mask: 255.255.255.0 
inet6 addr: fe80::10c7:53ffF:fe81:9086/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:62185 errors:0 dropped:0 overruns:0 frame:0 
TX packets:9179 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:89644521 (85.4 MiB) TX bytes:582899 (569.2 KiB) 


eth1 Link encap:Ethernet HWaddr 12:77:12:53:39:7B 

inet addr:172.31.4.197 Bcast:172.30.0.255 
Mask:255.255.255.0 

inet6 addr: fe80::1077:12ffF:fe53:397b/64 Scope:Link 


UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 

RX packets:13 errors:0 dropped:® overruns:0 frame:0 
TX packets:13 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 

RX bytes:1256 (1.2 KiB) TX bytes:1374 (1.3 KiB) 


选择 你 刚才 创建 的 网 络 接口 


地 址 > 关联 地 址 


选择 要 与 此 弹性 IP 地 址 (52.64.75.47) 关联 的 实例 或 网 绝 接 口 


网 络 接口 2c8c3256 C 
私有 IP | 172.31.13.216 -ce 
重新 关联 允许 重新 关联 已 附加 的 弹性 |P @ 
A šā 
如 果 您 将 弹性 IP 地 址 与 您 的 实例 关联 ， 则 将 释放 当前 弹性 IP 地 址 。 了 解 有 关 弹 性 |P 地 址 的 更 多 信息 。 
ea "加 


图 3-25 ”将 公有 IP 地 址 关联 到 额外 的 网 络 接 口上 


每 个 网 络 接口 都 连接 到 一 个 私有 IP 地 址 和 一 个 公有 IP 地 址 。 我 们 
需要 配置 网 络 服务 器 来 根据 IP 地 址 提供 不 同 的 网 站 。 庶 拟 服务 器 不 知 
Se 
请 求 o 


Eat te 2S aaa o TERR ERY eA EESSI FA 
令 来 下 载 两 个 简单 的 占 位 网 站 : 


$ sudo -s 

$ mkdir /var/www/html/a 

$ wget -P /var/www/html/a 
https://raw.githubusercontent .com/AwWSinAction/\ 
code/master/chapter3/a/index.html 


$ mkdir /var/www/html1/b 

$ wget -P /var/www/html/b 
https://raw.githubusercontent .com/AWSinAction/\ 
code/master/chapter3/b/index.html 


接 下 来 需要 配置 网 络 服务 器 来 根据 耻 地 址 分 发 网 站 。 
在 /etc/httpd/conf.d 下 添加 一 个 名 为 a.conf 的 文件 ， 将 IP 地 址 从 172.31.x.x 
修改 为 ifconfig 输出 的 网 络 接口 eth0 的 IP 地 址 : 


<VirtualHost 172.31.x.x:80> 


DocumentRoot /var/www/html/a 
</VirtualHost> 


重复 同样 的 操作 过 程 ， 在 /etc/httpd/conf.d 下 创建 一 个 名 为 b.conf 的 
内 容 如 下 的 配置 文件 。 将 IP 地 址 从 172.31.y.y 修改 为 ifconfig 输 
出 的 网 络 接口 eth1 的 IP 地 址 : 


<VirtualHost 172.31.y.y:80> 
DocumentRoot /var/www/html/b 
</VirtualHost> 


要 激活 新 的 网 络 服务 器 配置 ， 通 过 SSH 执 行 sudo service 
httpd restart 。 在 管理 控制 台 切 换 至 弹性 ITP 总 览 。 复 制 两 个 公有 
IP 地 址 ， 然 后 在 网 络 浏览 器 中 分 别 打开 它们 。 根 据 访 问 的 不 同 公有 了 P 
地 址 ， 用 户 应 该 得 到 回应 “Hello A!” 或 “Hello B!”。 这 样 用 户 能 够 根据 
用 户 访 问 的 不 同 公 有 IP 地 址 来 提供 两 个 不 同 的 网 站 。 


ZDE SJH 


是 时 候 做 一 些 清理 工作 了 。 

1) 终止 虚拟 服务 器 。 

2) 转 到 “网 络 接口 ”， 然 后 选择 并 且 删 除 网 络 接口 。 

) 切换 至 弹性 IP， 然 后 选择 并 从 “操作 ”菜单 中 点 击 “ 释 放 地 址 ”， 释 放 两 个 公有 下 地 


UJ 


就 是 这 样 ， 一 切 都 清理 好 了 ， 准 备 进 入 下 一 节 © 


3.8 ”优化 虚拟 服务 咒 的 开销 


iB a PE Fa B CAERA ee RR KY BT 
性 。 用 户 可 以 随时 局 动 或 停止 一 个 按 需 实例 ， 而 且 会 按 实 例 (虚拟 服 
Han) 运行 的 小 时 数 来 结算 费用 。 如 采 想 省 钱 ， 有 两 个 选项 : 竞价 型 
实例 或 预 留 实例 。 这 两 个 选项 都 能 够 帮助 用 户 减 少 开 销 ， 但 是 这 样 会 
降低 灵活 性 。 对 于 苋 价 型 实例 ， 可 以 对 AWS 数 据 中 心中 未 使 用 的 容量 
出 价 ， 价 格 基 于 供给 与 需求 。 如 有 果 和 需要 使 用 一 台 虚 拟 服务 右 超 过 一 
年 ， 可 以 使 用 预 留 实例 ， 同 意 文 付 给 定时 间 段 的 费用 并 提前 获取 折 
扣 。 表 3-2 展 示 了 这 些 选 项 之 则 的 不 同 点 。 


表 3-2 ” 按 需 、 预 留 及 竞价 型 虚拟 服务 器 的 不 同 点 


3.8.1 TRE RUM at 


预 留 一 台 虚 拟 服务 器 意味 着 承诺 使 用 在 指定 数据 中 心 的 一 台 指定 
类 型 的 虚拟 服务 右 。 无 论 这 台 预 留 虚 拟 服务 器 在 运行 还 是 不 在 运行 ， 
用 户 都 必须 为 它 文 付 费用 。 作 为 回报 ， 用 户 得 到 最 多 可 达到 609% 的 价 
如 采 想 预 留 一 人 台 虚 拟 服务 器 ， 可 以 选择 以 下 选项 
| 一 | : 


无 前 期 费用 ，1 年 使 用 期 ; 
部 分 前 期 费用 ，1 年 或 3 年 使 用 期 ; 
全 部 前 期 费用 ，1 年 或 3 年 使 用 期 。 


表 3-3 展 示 了 对 配 有 1 人 台 CPU、3.75 GB 内 存 和 4 GB SSD 的 虚拟 服务 
ax 〈 称 为 m3.medium) ， 这 意味 着 什么 呢 ? 


323-3 ”虚拟 服务 器 (m3.medium) 的 潜在 可 节约 成 本 


全 部 前 期 费用 ， 


RA 


部 分 前 期 费用 ， 
使 用 期 


全 部 前 期 费用 ， 
期 


中 
IAN T 
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少 。 但 是 ER 。 如果 用 户 有 一 台 虚 拟 服务 器 的 预 留 (一 个 预 
留 实例 ) ， 这 台 虚 拟 服务 器 的 容量 在 公有 云 中 是 为 用 户 预 留 的 。 为 什 
么 这 很 重要 ? 假设 在 一 个 数据 中 心 时 对 虚拟 服务 右 的 需求 增加 了 ， 
有 可 能 是 因为 男 一 个 数据 中 心 坏 了 ， 而 许多 AWS 客 户 不 得 不 局 动 新 的 
虚拟 服务 器 来 蔡 换 他 们 坏 了 的 那些 服务 器 。 在 这 种 罕见 的 情况 下 ， 按 
需 虚 拟 服务 右 的 订单 堆积 起 来 ， 有 可 能 变 成 很 难 局 动 一 台新 的 虚拟 服 
务 右 。 如 采用 户 计 划 构 建 一 个 高 可 用 的 跨 多 个 数据 中 心 的 设置 ， 应 该 
考虑 预 留 最 小 的 能 保持 目 己 的 应 用 运行 的 容量 。 我 们 推 戎 开始 时 使 用 
按 需 服 务 右 ， 人 然后 切换 到 按 需 与 预 留 服务 郁 混 合 的 模式 。 


3.8.2 ”对 未 使 用 的 虚拟 服务 器 竞价 


BR TAB RRA a 2b, LARIA AY AREA 
we PARSE Bo Ae ASE, PAWS PRE AY at 
ITEA -DMa 是 指 一 个 标准 产品 在 交易 后 马上 区 货 的 市 
场 。 在 这 个 市 场 上 的 产品 价格 依赖 于 供给 与 需求 。 在 AWS 苋 价 市 场 ， 
ee Eee) Ee aan 


图 3-26 展 示 了 指定 实例 类 型 的 一 台 虚 拟 服务 器 的 价格 。 如 果 在 指 
定数 据 中 心 的 一 台 指 定 虚 拟 服务 器 的 当前 竞价 型 实例 价格 比 自 己 的 最 
高 价格 低 ， 用 户 的 竞价 型 实例 请 求 将 被 满足 ， 一 台 虚 拟 服务 器 将 启 
动 。 如 果 当 前 的 竞价 型 实例 价格 超出 用 户 的 竞价 ， 用 户 的 虚拟 服务 器 
将 在 2 min 后 被 AWS 终 止 (不 是 停止 ) 


虚拟 服务 器 已 终止 


虚拟 服务 器 在 运行 


图 3-26 ”虚拟 服务 器 现货 交易 市 场 的 功能 


竞价 价格 可 能 更 高 或 更 低 的 灵活 性 取决 于 虚拟 服务 硕 的 大 小 以 及 
所 在 的 数据 中 心 。 我 们 看 见 过 竞价 型 实例 价格 只 有 按 需 价格 的 10%， 
也 看 见 过 范 价 型 实例 价格 甚至 超过 按 需 价格 。 一 旦 竞价 型 实例 价格 超 
过 用 户 的 竞价 ， 用 户 的 服务 器 将 在 2 min 内 被 终止 。 用 户 不 应 该 将 竞价 
实例 用 在 类 似 网 络 或 邮件 服务 右上， 但 是 可 以 用 它们 来 运行 异步 任 
务 ， 如 数据 分 析 或 者 对 媒体 资产 进行 编码 。 用 户 甚至 可 以 用 苋 价 实例 
来 检查 目 己 的 网 站 的 破损 连接 ， 如 在 3.1 节 所 做 的 ， 因 为 这 不 古 一 个 时 
间 要 求 严 格 的 任务 。 


让 我 们 来 启动 一 台 使 用 竞价 型 实例 市 场 优惠 价格 的 新 的 虚拟 服务 
俐 。 上 首先 用 户 必 须 将 订单 提交 到 现货 交易 市 场 。 图 3-27 展 示 了 请 求 虚 


拟 服务 器 的 开始 点 。 我 们 可 以 在 主导 航 栏 中 选择 EC2 服 务 ， 然 后 从 子 
羔 单 中 选择 “ 况 价 请求? 进入。 点击“ 定价 历史 记 杂 ”， 可 以 看 到 虚拟 服 
务 器 的 价格 ， 不 同 的 服务 器 大 小 及 不 同 数据 中 心 的 历史 价格 都 能 


到 * 


@ 打 开 竞 价 型 服务 器 总 览 显示 竞价 型 实例 市 场 的 历史 价格 
| \ 
{v v aken @ ne vy aá 
EC2 控制 面 CESIL ES SpotAdvisor ”操作 - 定价 历史 记录 Ba) 
事件 
标签 j T 请 求 类 型 : al~ ”状态 : all- (> i « 《 无 请 求 » 
报告 / 


/ WR ID 请 求 类 型 实例 类 型 状态 容量 状态 


您 目前 在 此 区 域 中 没有 竞价 型 实例 。 
如 果 您 是 首次 使 用 EC2 竞价 型 实例 ， 请 访问 入 门 页 面 。 


实例 
| AMAR 单 击 请 求 竞价 型 实例 按钮 以 启动 竞价 型 实例 。 
= 请 求 竞价 型 实例 
专用 主机 
AMI 、 _、 
捆绑 任务 从 上 面 选 择 一 个 竞价 请 求 以 查看 更 多 详细 信息 
郑 


快照 


@ 打 开 一 个 向 导 来 启动 
一 台 竞价 型 服务 器 


图 3-27 ”请求 一 个 竞价 型 实例 


在 3.1 和 中， 我 们 启动 了 一 人 台 虚 拟 服务 器 。 请 求 一 个 竞价 型 实例 的 
步骤 大 致 相同 。 点 击 “ 请 求 竞价 型 实例 ”按钮 打开 癌 导 。 选 择 *Ubuntu 
Server 16.04 LTS (HVM)”* 作 为 虚拟 服务 器 的 操作 系统 。 


图 3-28 所 示 的 步 怠 可 以 用 来 选择 虚拟 服务 器 的 尺寸 。 用 户 不 能 局 
Ee 因此 像 也 .micro 这 样 的 实例 类 型 是 
NGA ‘| o 


通过 请 求 竞价 型 实例 启动 一 台 实例 类 型 m3.medium 的 虚拟 服务 器 将 会 产生 费用 。 
条 的 例子 中 最 大 价格 (竞价 ， 为 0.07 美 元 /小 时 。 


选择 最 小 可 用 的 虚拟 服务 器 类 型 m3.medium， 人 然后 点 击 “* 选 择 ”。 


下 一 步 ， 如 图 3-29 所 示 ， 配 置 虚 拟 服 务 器 的 详细 信息 以 及 苋 价 型 
实例 请 求 。 设 置 下 面 参数 。 


(1) 设置 竞价 型 实例 请 求 的 目标 容量 为 1。 


(2) 选择 0.070 作 为 虚拟 服务 器 的 最 高 价 。 这 是 该 服务 器 尺寸 的 
按 需 价格 。 


(3) 选择 默认 网 络 ， 使 用 IP 地 址 范围 为 172.30.0.0/16。 


oa ee ee 
XX] o 


ch E Be” SERIE e BUTE A LBA ATA a BY SG o 
点 击 “ 启 动 * 完 成 请 求 竞价 型 实例 。 


选择 实例 类 型 
Supports dedicated tenancy 定价 历史 记录 。 竟 价 出 价 顾问 
i3.4xlarge 6 122 2x 1900 Up to 10 Gigabit $0.1501 90% 


32 244 4 x 1900 10 Gigabit $0.299 90% 
64 488 8 x 1900 20 Gigabit $0.6043 90% 
1 3.75 1x4 Moderate $0.0122 87% 
1x32 Moderate $0.0302 84% 
2x40 High $0.0603 84% 

8 30 2x80 High $0.1203 8 
2 8 EBS Moder: $0.0498 63% 
EBS igh $0.0532 80% 
8 32 EBS igh $0.1062 80% 
6 6 EBS igh $0.1982 82% 
40 60 EBS 0 Gig $0.592 8% 
EBS only Giga! $0.6741 % 


-ED 


选择 实例 类 型 m3.medium 点 击 这 里 继续 


图 3-28 ”选择 竞价 型 服务 器 尺寸 


这 次 申请 竞价 的 数量 指定 的 镜像 (AMI) 和 实例 类 型 


目标 容量 @ 1 F : | 实例 > 
i 
AMI @ Amazon Linux AMI 2017.03.0.20170417 x86_64 H\ | (apex AMI 
p- 


实例 类 型 @ calarge (2 VCPU, 3.75 GiB, 2x16) <—— 选择 
PS TRARP USHMAN TAA 


分 配 策略 © 最 低 价格 多 样 化 
AMARRE RNT ARMEA EEE TARAZARD 2G ERA 
网 络 @ vpc-2cc23649 (172.31.0.0/16) (默认 ) | c 新 建 VPC 
> 
X 
可 用 区 @ 选择 特定 区 / 子 网 。、 \ 了 | 


\ 
ap-southeast-2a 了 网 @ subnet-9723¢ || o| 新 建 子 网 
| 
ap-southeast-2b | 
/ 
ap-southeast-2c 
7 
最 高 价 @ 使 用 自动 出 价 O 设 定 您 的 最 高 价 (每 实例 /小 时 ) 


$ 007 : 定价 历史 记录 
/ 


/ 
/ 
没有 找到 您 在 查找 的 吗 ? 使 用 旧 的 竞价 型 实例 启动 向 导 。 ww EEA 


全 你 的 服务 器 的 最 高 价格 点 击 这 里 继续 


言 息 ， 然 后 指定 一 个 最 大 小 时 价格 


WS 
=. 


图 3-29 ete REARS ae 


FER TSA PTA PR, EWIE ae se OR LE T NE 
SO PITTIDE o AaB TRE, RATA E Sa ESK le 
总 览 。 用 户 应 该 看 见 图 3-30 所 示 的 一 个 竞价 型 实例 请 求 。 可 能 需要 几 
分 钟 时 间 请 求 才 会 被 满足 。 看 一 下 虚拟 服务 器 请 求 的 状态 ， 因 为 竞价 
型 实例 市 场 不 可 预测 ， 请 求 失败 也 是 有 可 能 的 。 如 采 发 生 了 请 求 失 
e 过 程 来 生成 另 一 个 请 求 ， 并 且 选 择 另 一 个 子 网 来 

A vy ° 


Lisi ES SpotAdvisor 操作 ~ 定价 历史 记录 || % 


« < 查看 2 个 请 求 中 的 1 到 2 > > 


Y 请 求 类 型 : al~ ”状态 : all- MARSH 
JAR ID 请 求 类 型 实例 类 型 状态 容量 状态 持久 性 创建 于 
sir-hri8jwvj instance c3.large D open - pending-eval... one-time a few seconds a 
» sfr-70b572cc-3d52... fleet c3.large @ active 0of1 ending_fulfill... request a few seconds a 


等 待 状态 变 为 fulfilled 


图 3-30 ”等 待 竞价 型 实例 请 求 被 满足 且 虚 拟 服务 器 被 启动 


如 果 请 求 的 状态 变 为 fulfilled， 就 说 明 一 台 虚 拟 服务 器 被 启动 了 。 
用 户 可 以 通过 子 菜 单 切 换 到 “实例 ”看 一 下 ， 会 在 虚拟 服务 器 总 览 的 实 


PIP Ze PRE — BETIS ITER Bl o RERED T — e 
价 型 实例 的 虚拟 服务 器 ! 


CREASE 
ot UR 


终止 实例 类 型 为 mn3.medium 的 虚拟 服务 器 ， 以 停止 为 它 付费 。 

1) 从 主 时 航 栏 中 打开 EC2 服 务 ， 然 后 在 子 菜单 中 选择 “实例 ”。 
2) 在 表格 中 点 击 行 ， 选 中 正在 运行 的 虚拟 服务 器 。 

3) 在 “操作 ”菜单 中 ， 选 择 “ 实 例 状 态 ”- “终止 ”。 


O (A 切换 到 竞价 请 求 "总 览 ， 再 次 确认 竞价 型 实例 请 求 已 经 取消 了 。 如 果 没 有 取消 
选择 这 个 竞价 型 实例 请 求 ， 然 后 点 击 "取消 竞价 请 求 "。 


3.9 小 结 


可 以 在 启动 一 台 虚 拟 服务 侨 时 选择 操作 系统 。 

使 用 日 志 与 指标 有 助 于 用 户 监 控 和 调试 一 台 虚 拟 服务 器 。 

改变 虚拟 服务 絮 的 尺寸 可 以 灵活 改变 CPU、 内 存 及 存储 的 数量 。 
可 以 从 遍布 全 球 的 不 同 区 域 (由 多 个 数据 中 心 组 成 ， 局 动 虚 拟 服 
FAN ° 

。 分 配 及 关联 一 个 公有 IP 地 址 到 虚拟 服务 器 能 够 灵活 地 替换 一 台 虚 
拟 服务 右 ， 而 不 需要 改变 公有 IP 地 址 。 

。 可 以 通过 预 留 虚拟 服务 器 或 在 虚拟 服务 器 竞价 型 实例 市 场 上 对 未 
使 用 的 容量 进行 竞价 来 节约 成 本 。 


BAR SHAR: 命令 行 、SDK 和 


CloudFormation 


本 章 主要 内 容 


。 理解 “基础 设施 即 人 代码” 的 思想 

。 使 用 CLI 来 启动 虚拟 服务 器 

。 使 用 Node.js 上 的 JavaScript SDK 来 启动 虚拟 服务 器 
。 使 用 CloudFormation 来 启动 虚拟 服务 器 


想象 一 下 ， 你 想 要 把 房间 照明 作为 一 项 服务 来 提供 。 要 使 用 软件 
关闭 房间 灯光 ， 需 要 一 个 硬件 设备 ， 如 一 个 可 以 切断 电流 的 继电器 。 
这 个 硬件 设备 必须 有 某 种 接口 让 你 能 通过 软件 向 它 发 送 开 灯 和 关 灯 这 
样 的 指令 。 使 用 一 个 继电器 及 其 接口 ， 就 可 以 将 房间 照明 变 成 一 种 服 
务 。 这 一 概念 同样 适用 于 虚拟 服务 器 。 如 果 想 通过 软件 启动 一 台 虚 拟 
服务 器 ， 需 要 能 处 理 并 满足 请 求 的 硬件 设备 。AWS 提 供 通过 接口 来 控 
制 的 基础 架构 ， 叫 作 应 用 编程 接口 (application programming 
interface, API) 。 用 户 能 通过 API 控 制 AWS 的 每 一 部 分 。 用 户 可 以 使 
用 大 多 数 编程 语言 、 命 令 行 和 更 复杂 的 工具 的 SDK 调 用 这 些 API © 


RETNA EL Bs EA Be ee e Pair Set n 会 显示 一 个 特殊 的 警 
| 告 消 筷 。 只 要 不 是 运行 这 些 示 例 好 几 天 ， 就 不 需要 文 付 任何 费用 。 记 住 ， 这 仅 适 用 于 读者 
为 学 习 本 书 刚刚 创建 的 全 3 新 AWS 账 户 ， 并 且 在 这 个 AWS 账 户 时 没有 其 他 活动 。 尽 量 在 几 天 
和 在 每 个 示例 完成 后 务必 清理 账户 。 


在 AWS 上 ， 一切 操作 都 可 以 通过 API 来 控制 。 用 户 通 过 HTTPS 协 
议 调 用 REST API 来 与 AWS 交 互 ， 如 图 4-1 所 示 。 一 切 操作 都 可 以 通过 
API 提 供 。 例 如 ， 用 户 可 以 通过 一 个 API 调 用 启动 一 台 服 务 器 ， 创 建 1 
TB 存储 ， 或 通过 API 启 动 一 个 Hadoop 集 群 。 这 里 说 的 “一 切 ” 真 的 包含 
了 云 上 的 所 有 操作 。 我 们 需要 一 些 时 间 来 理解 这 样 的 概念 。 当 读 完 本 
书 时 ， 读 者 可 能 会 感到 遗憾 ， 为 什么 现实 世界 不 能 像 云 计算 那样 简 
单 。 下 面 让 我 们 看 看 API 是 怎么 工作 的 。 


J 


管理 服务 


服务 


计算 : 虚拟 服务 器 
应 用 : 队列 、 搜 索 
企业 : 目录 服务 、 邮 件 
部 署 : 访问 权限 、 监控 
dae yeri 


管理 员 


图 4-1 调用 REST API 与 AWS 交 互 


I 对 和 象 存储 里 的 所 有 文件 ， 可 以 同 API 尊 点 发 送 一 个 GET 
请 求 : 


GET / HTTP/1.1 


Host: BucketName.s3.amazonaws.com 
Authorization: [...] 


请 求 的 啊 应 大 概 如 下 所 示 : 


HTTP/1.1 200 OK 

X-amz-id-2: [...] 

xX-amz-request-id: [...] 

Date: Mon, 09 Feb 2015 10:32:16 GMT 
Content-Type: application/xml 


<?xml version="1.0" encoding="UTF-8"?> 
<ListBucketResult xmlns="http://s3.amazonaws .com/doc/2006-03-01/"> 


[...] 
</ListBucketResult> 


使 用 底层 的 HITTPS 请 求 直 接 调用 API 不 太 方便 。 另 一 种 简单 的 方 
法 是 ， 使 用 命令 行 接口 或 SDK 来 和 AWS 交 互 ， 正 如 在 本 章 中 所 学 的 那 
样 。API 是 这 些 工 具 的 基础 。 


4.1 基础 架构 即 代码 


“基础 架构 即 代 码 ” 表 达 了 使 用 高 级 编程 语言 来 控制 TT 系统 的 思 
想 。 在 软件 开发 中 ， 目 动 化 测试 、 代 码 库 和 构建 服务 絮 提 高 了 软件 工 
程 的 质量 。 如 采用 户 的 基础 架构 可 以 当 作 代码 来 对 竺 ， 用 户 束 能 够 对 
目 己 的 基础 架构 代码 和 目 己 的 应 用 程序 代码 使 用 相同 的 技术 。 最 终 ， 
用 户 将 可 以 使 用 目 动 化 测试 、 代 码 库 和 构建 服务 右 来 改善 基础 染 构 的 


E, 


质量 。 


不 要 混 消 基础 架构 即 代 码 与 基础 


革 础 架构 即 服 务 aas) 的 概念 ! IaaS 指 的 是 按照 使 用 量 
进行 付费 的 租用 服务 器 、 存 储 和 网 


络 的 业务 模式 。 


4.1.1 ”自动 化 和 DevOps 运 作 


DevOps (development operations) 是 软件 开发 驱动 的 一 个 方法 ， 
以 便 让 开发 和 运 维 更 加 紧密 地 配合 。 其 目标 是 能 快速 发 布 开发 好 的 软 
= 并 且 没 有 损失 质量 。 因 而 开发 与 运 维 的 沟通 与 合作 就 变 得 必需 


只 有 把 代码 修改 和 代码 部 署 的 过 程 完 全 目 动 化 ， 才 有 可 能 在 一 天 
内 部 署 多 次 代码 。 如 果 用 户 提 交 源 代码 到 代码 库 中 ， 源 代码 将 被 目 动 
构建 并 使 用 目 动 化 测试 进行 测试 。 如 采 构 建 结 采 通 过 了 测试 ， 它 会 目 
动 安 闭 到 测试 环境 。 接 下 来 可 能 触发 一 些 集成 测试 。 集 成 测试 通过 
后 ， 这 个 更 改 会 被 传送 入 产品 。 但 是 这 还 不 是 流程 的 结束 ， 现 在 用 户 
还 需要 仔细 监控 系统 并 实时 分 析 日 志 ， 以 确保 更 改 征 成 功 的 。 


如 采用 户 的 基础 架构 和 是 目 动 化 的 ， 用 户 可 以 为 每 一 个 提交 到 代码 
库 的 更 改 启动 一 个 新 系统 ， 用 来 单独 运行 与 同一 时 刻 提 区 到 代码 库 中 
的 其 他 代码 隔离 的 集成 测试 。 任 何 时 候 有 代码 变动 ， 将 创建 一 个 新 系 
统 服务 器 、 数 据 库 和 网 络 等 ) 来 单独 运行 这 一 变动 。 


41.2 ”开发 一 种 基础 架构 语言 : JIML 


为 了 易于 详细 理解 基础 殿 构 即 代 码 ， 人 们 开发 了 一 种 痢 语 言 来 描 
述 基 础 架构 : JSON 基 础 架构 标记 语言 (JSON Infrastructure Markup 
Language, JIML) 。 图 4-2 描 述 了 将 要 创建 的 基础 架构 。 


obs 
一 一 
qe 
DNS CDN 
{ 
infrastructure: { 
loadbalancer: { 
server: {...} 
a e 8 
edn: { 2. 35 
database: { ... }, 
PE 负载 均衡 器 静态 文件 
RAE A 
} 
} 


图 4-2 ”从 JIML 蓝 图 到 基础 架构 : 基础 架构 自动 化 
这 个 基础 架构 包含 以 下 内 容 : 


负载 均衡 器 (LB) ; 
虚拟 服务 器 ; 

数据 库 (DB) ; 

DNS 域名 入 口 ; 

内 容 分 发 网 络 (CDN) ; 
静态 文件 存储 桶 。 


为 了 减少 语法 问题 ， 我 们 让 JIML 基 于 JSON 格 式 。 代 码 清 单 4-1 所 
示 的 JIML 程 序 创 建 了 图 4-2 所 示 的 基础 架构 。$ 表示 指 回 一 个 ID 的 引 
用 o 


oO 


代码 清单 4-1 ”用 JIML 描 述 基 础 架构 


{ 


"region": "us-east-1", 


"resources": [{ 
"type": "loadbalancer", 
"iq": "LB", 
"config": { 
"server": { 
"cpu": 2, 
"ram": 4, 
"os": "ubuntu", 
"waitFor": "$DB" 


ty 


"Servers": 2 


W Wa W W 
ieee 
"config": { 
"defaultSource": "$LB", 
"sources": [{ 
"path": "/static/ *", 
"source": "$BUCKET" 


}] 


}, { 
"type": "database", 
"id" g "DB", 
"config": { 
"password": TA 
"engine": "MySQL" 


i 
" 


type": "dns", 

"config": { 

"from": "www.mydomain.com", 
"to" : "$CDN" 


了 
W 


type": "bucket", 
"id": "BUCKET" 


}] 
} 


JSON 是 怎么 被 转换 成 AWS API 调 用 的 呢 ? 


(1) 解析 JSON 输 入 。 


(2) JIML 人 解释 器 将 资源 和 它们 的 依赖 项 连接 起 来 ， 创 建 一 张 依 


IAL 。 


(3) JIML 人 解释 器 从 底层 (ATF) 到 顶层 ( 根 ) 遍历 依赖 图 中 的 
树 ， 然 后 产生 一 个 线性 的 命令 流 。 这 些 命令 由 一 个 伪 语 言 来 表达 
(4) 然后 JIML 运 行 环境 将 这 些 伪 语言 的 命令 翻译 成 AWS API 调 


用 。 


让 我 们 来 看 看 由 JIML 解 释 器 创建 的 依赖 图 ， 如 图 4-3 所 示 。 


JIML 依 赖 图 


JIML code 


rces": [{ 
ic/*", "source": "$BUCKET" 


图 4-3 ”JIML 人 解释 器 确定 了 资源 创建 的 顺序 


自 底 向 上 从 左 到 右 遍 历 这 张 依赖 图 ， 底 部 的 节点 DB @ 和 bucket 
目 没 有 子 节 点 。 没 有 子 节 点 的 节点 就 没有 依赖 项 。 服 务 器 @@ 蔬 点 依赖 
于 DB OTA ° LBOURMT ARH OTA ° CDN 日 点 依赖 于 LB OTT 
点 和 bucket OTA °- w/a, DNS @ 节 点 依赖 于 CDN 节点 。 


JIML fie ae TE RA 8 PAE EA te Sa Sit, FEIL 
代码 清单 4-2。 这 个 伪 语 言 代表 了 用 正确 的 顺序 创建 所 有 资源 所 需要 的 
步 又 。 克 部 的 万 点 没有 依赖 项 ， 所 以 最 容易 创建 : 这 束 是 它们 首 移 被 
创建 的 原因 。 


代码 清单 4-2 ”在 伪 代 码 中 的 顺序 命令 流 


$DB = database create {"password": "***", "engine": "MySQL"} 一 - - 
创建 数据 库 
$BUCKET = bucket create {} 


await $DB 
$SERVER1 = server create {"cpu": 2, "ram": 4, "os": "ubuntu"} 
一- -创建 服务 器 


$SERVER2 = server create {"cpu": 2, "ram": 4, "os": "ubuntu"} 


await [$SERVER1, $SERVER2] =- -等 待 依赖 


$LB = loadbalancer create {"servers": [$ SERVER1, $_SERVER2]} 
一- -创建 负载 均衡 器 


await [$LB, $BUCKET] 
$CDN = cdn create {...} - -创建 CDN 


await $CDN 
$DNS = dns create {...} - -创建 DNS AO 


await $DNS 


ma AYRE N18 Bt SAE BLAWS API 调 用 一 一 这 里 省 略 
了 。 我 们 已 经 学 习 了 基础 染 构 即 代 码 所 需 的 一 切 :， 都 与 依赖 相关 。 


现在 我 们 理解 了 依赖 关系 对 于 基础 染 构 即 代 码 有 多 重要 ， 让 我 们 


来 看 看 如 何 使 用 命令 行 创建 基础 染 构 。 命 令 行 是 实现 基础 架构 即 代码 
的 一 种 工具 。 


4.2 ”使 用 命令 行 接口 


AWS 命 令 行 接口 (command-line interface, CLI) 是 一 个 从 命令 行 
使 用 AWS 的 便捷 的 方法 。 它 运行 在 Linux、Mac 和 Windows 上 ， 是 用 


Python 写 的 。 它 为 所 有 AWS 服 务 提供 了 一 个 统一 的 访问 接口 。 除 非 男 
作 说 明 ， 人 否则 命令 的 输出 都 是 JSON 格 式 的 。 


现在 我 们 将 安装 和 配置 CLI， 之 后 ， 就 可 以 开始 着 手 使 用 了 。 
4.2.1 ”安装 CLI 


怎样 继续 要 看 用 户 的 操作 系统 。 
1. Linux 和 Mac OS X 


CLI 需 要 Python (2.6.5 或 更 高 、2.7.x 或 更 高 、3.3.x 或 更 高 或 3.4.x 和 
更 高 ) 以 及 pip。pip 安 装 Python 程序 包 的 推荐 工具 。 要 检查 Python 版 
本 ， 在 终端 运行 python -version。 如 果 用 户 没有 安装 Python 或 者 
版 本 太 旧 ， 需 要 找到 一 个 代 奉 方法 来 安装 Python。 要 查看 是 否 安装 了 
pip， 在 终端 上 运行 pip --version“。 如 果 显 示 了 版 本 ， 说 明 已 经 安 
装 了 ; 否则， 执行 下 面 的 命令 来 安装 pip: 


$ curl "https://bootstrap.pypa.io/get-pip.py" -o "get-pip.py" 


$ sudo python get-pip.py 


再 在 终端 上 运行 pip --version 来 验证 pip 安 装 。 现 在 是 时 候 来 
安装 AWS CLIT: 


$ sudo pip install awscli 


在 终端 运行 aws --version 来 验证 AWS CLI 安 装 。 


2. Windows 


下 面 的 步骤 引导 用 户 在 Windows 上 使 用 MSI 安 装 程 序 来 安装 AWS 
CLI。 


(1) 下 载 AWS 命 令 行 接口 (32 位 或 64 位 ) MSI 安 装 程序 。 


(2) 运行 下 载 好 的 安装 程序 ， 然 后 按照 安装 向 导 的 提示 安装 


(3) 用 管理 员 身 份 运行 PowerShell， 在 “开始 ”菜单 中 找到 
PowerShell 项 ， 然 后 在 关联 菜单 中 选择 以 管理 员 身份 运行 。 


(4) 在 PowerShell 中 输入 Set -ExecutionPolicy 
Unrestricted ， 然 后 按 Enter 键 执行 这 一 命令 。 这 样 就 能 执行 我 们 
示例 中 的 未 签名 的 PowerShell 脚 本 。 

(5) 关闭 PowerShell 窗口 ， 不 再 需要 以 管理 员 身 份 工作 了 ° 


(6) 通过 “开始 ”菜单 中 的 PowerShell 项 运行 。 


(7) 在 PowerShell 中 执行 aws --version ， 以 验证 AWS CLI 是 
否 正 常 工作 。 


4.2.2 ”配置 CLI 


要 使 用 CLI， 需 要 验证 用 户 的 喘 份 。 目 前 为 止 ， 我 们 使 用 了 AWS 
根 账号 。 这 个 账号 能 做 任何 事 ， 这 是 好 事 也 十 坏 事 。 强 烈 建 议 读者 不 
要 使 用 AWS 根 账号 (第 6 章 将 介绍 更 多 安全 相关 的 知识 ， 所 以 我 们 
要 创建 一 个 新 用 户 。 


打开 AWSs 管 理 控制 对， 在 导航 栏 中 点 击 “ 服 务 "， 然 后 点 击 <ITAM 服 
务 "， 会 显示 图 4-4 所 示 的 页 面 ， 选 择 左边 的 “用 户 *。 


点 击 以 创建 一 个 新 用 户 还 没有 创建 用 户 


身份 提供 丙 
账户 设置 
凭证 报 告 
加 密 窗 钥 
| pq 
图 4-4 IAM 用 户 ( 空 ) 
新 用 户 的 用 户 名 
\ 
加 用 户 
GD 
详细 信息 权限 审核 完成 
设置 用 户 详细 信息 
您 可 以 一 次 添加 多 个 具有 相同 访问 类 型 和 权限 的 用 户 。 了 解 更 多 
用 户 名 * 
© 添加 其 他 用 户 
选择 AWS 访问 类 型 
选择 这 些 用 户 将 如 何 访问 AWS。 在 最 后 一 步 中 提供 访问 密 钥 和 自动 生成 的 密码 。 THES 
访问 类 型 * 编程 访问 
为 AWS API, CLI, SDK 和 其 他 开发 工具 启用 访问 密 钥 ID 和 私有 访问 密 钥 。 
AWS 管理 控制 台 访问 
启用 密码 、 使 得 用 户 可 以 登录 到 AWS 管理 控制 台 。 
勾 选 为 每 一 用 户 
生成 一 个 访问 密 
选 4 3 7 
选项 必 填 取消 一 步 :权限 | 


图 4-5 ”创建 一 个 IAM 用 户 
按 下 面 的 步 又 创建 一 个 新 用 户 。 
(1) 点 击 “ 添 加 用 户 *”， 打 开 如 图 4-5 所 示 的 页 面 。 
(2) 输入 mycli 作 为 第 一 个 用 户 的 用 户 名 。 


(3) 让 其 他 项 保持 空白 ， 选 择 “ 编 程 访 问 ”。 点 击 “ 下 一步 : 权 
限 ” 按 钮 。 


(4) 直接 点 击 “ 下 一 步 : 审核 >?， 然 后 点 击 “ 创 建 用 户 ” 按 钮 。 


BEIT ART, 将 会 打开 如 图 4- 6 所 示 的 页 面 。 点 击 “ 显 示 ” 来 显示 
私有 访问 密 钥 一 一 它 只 会 显示 一 次 ! 现在 用 户 需 要 复制 这 一 插 证 到 


CLI 配 置 中 。 接 下 来 学 习 它 是 怎么 工作 的 。 


详细 信息 权限 审核 完成 
© 成 功 
SON PUBTAFATMAP, BTAEEMFTRAP REAT, TEAT A 说 明 来 登录 到 AWS 管理 控 
制 台 。 这 是 最 后 一 次 这 些 凭 5 证 可 供 下 载 。 不 过 ， 您 可 以 随时 创建 新 的 赁 
具有 AWS 管理 控制 台 访 问 权限 的 用 户 可 位 置 登 录 ; https://hitline.signin.aws.amazon.com/console 
$ 下 载 .csv 
用 户 访问 密 钥 ID 私有 访问 密 钥 
> © my AKIAIAHP7OYOBE3FNN2A JeivZS14voqxBVxPMobXnA9vqQhyB267fde 


访问 密 钥 ID 与 私有 访问 密 钥 一 起 用 于 身份 认证 的 


图 4-6 ”创建 一 个 IAM 用 户 ， 显示 密 钥 凭证 


在 用 户 的 计算 机 上 打开 终端 (Windows 上 的 PowerShell 或 OS X 和 
Linux 上 的 Bash shell， 不 是 AWS 管 理 控 制 台 ) ， 然 后 运行 aws 
configure 。 用 户 会 被 问 及 4 个 信息 。 


A ee ee 

° oe 一 一 从 私有 访问 密 钥 框 (浏览 器 窗口 ) 中 复制 
= 

© 默认 区 域名 称 价 入 us-east-1。 

。 默 认输 出 格式 一 一 输入 json ° 


最 后 ， 在 终端 上 应 该 看 上 去 像 这 样 : 


$ aws configure 
AWS Access Key ID [None]: AKIAJXMDAVKCM5ZTX7PQ 
AWS Secret Access Key [None]: 


SSKIng7j kKAKERpcT3YphX4cD86sBYgwVw2enqBj 7 
Default region name [None]: us-east-1 
Default output format [None]: json 


现在 CLI 被 配置 好 了 ， 使 用 用 户 mycli 进 行 身份 认证 。 切 换 回 浏览 
器 窗口 然后 点 击 “ 关 闭 *， 结 束 用 户 创建 向 导 ， 将 会 打开 图 4-.7 所 示 的 页 


点 击 用 户 来 添加 授权 信息 


访问 密 钥 使 用 期 限 密码 使 用 期 限 上 一 次 活动 


无 无 无 


图 4-7 IAM 用 户 


接 下 来 束 需 要 处 理 授权 来 确定 允许 用 户 mydli 做 些 什么 。 目 前 ， 这 
个 用 户 不 被 允许 做 任何 事 (默认 设 定 ) 。 点 击 用 户 mycli， 会 看 到 图 4- 
8 所 示 的 页 面 。 


FAP > mycli 
wn 摘要 o 
组 
用 户 ARN am:aws:iam::313444738310:user/mycli 
| ar 
Be / 
角色 
创建 时 间 2017-11-11 14:29 UTC+0800 
策略 
身份 提供 商 权限 组 (0) 安全 证 书 访问 顾问 
账户 设置 
凭证 报告 @ ”开始 使 用 权限 
此 用 户 还 没有 任何 权限 。 在 开始 时 ， 请 将 用 户 添加 到 组 、 从 其 他 用 户 复 制 权限 或 者 直接 附加 策略 。 了 解 更 多 
nee acini 


O 添加 内 联 策略 


关联 策略 来 授予 权限 。” ” 用 户 mycli 还 不 允许 做 任何 事 
图 4-8 ”没有 任何 权限 的 [LAM 用 户 


在 “权限 ”部 分 ， 点 击 “ 添 加 权限 ”按钮 ， 将 打开 图 4-9 所 示 的 页 面 ， 
选择 “直接 附加 现 有 策略 ”。 


将 权限 添加 到 mycli 1 
权限 审核 
授予 权限 
使 用 IAM 策略 授予 权限 。 您 可 以 分 配 现 有 策略 或 者 创建 一 个 新 策略 。 
ia X 
os va 
将 用 户 添加 到 组 从 现 有 用 户 复制 权限 直接 附加 现 有 策略 
直接 将 一 个 或 多 个 现 有 策略 附加 到 多 个 用 户 或 者 创建 新 策略 。 了 解 更 多 
创建 策略 SaM 
筛选 条 件 : 策略 类 型 v Q 显示 290 个 结果 
策略 名 称 ~ 类 型 附件 > ”描述 
>» Ú AdministratorAccess 工作 功能 2 Provides full access to AWS services and resources. 


选择 这 一 策略 来 授予 管理 员 权限 


图 4-9 向 一 个 IAM 用 户 关联 一 个 策略 


搜索 Admin ， 然 后 选择 策略 AdministratorAccess。 点 击 “ 下 一 步 : 
审核 ”， 然 后 点 击 “ 添 加 权限 ”。 现 在 用 户 mycli 看 上 去 如 图 4-10 所 示 。 


用 户 > mycli 
2% IAM 4 
控制 面板 摘要 @ 
4 
FAP ARN arn:aws:iam::313444738310:user/mycli 
| Be 
路 径 / 
角色 
创建 时 间 ”2017-11-11 14:29 UTC+0800 
策略 
身份 提供 商 权限 组 (0) 安全 证 书 访问 顾问 
账户 设置 
添加 权限 附加 的 策略 : 1 
ie Ea 
策略 名 称 ~ 策略 类 型 ~ 
加 密 密 钥 直接 附加 
» lil AdministratorAccess AWS 托管 策略 X 
O 添加 内 联 策略 


现在 用 户 mycli 关联 了 AdministratorAccess 策 略 从 而 变 得 非常 强大 


图 4-10 ”拥有 admin 权 限 的 IAM 用 户 mycli 


现在 可 以 测试 CLI 是 否 工 作 了 。 切 换 到 终端 窗口 ， 输 入 aws ec2 
describe-regions 来 获取 所 有 可 用 区 域 的 列表 : 


$ aws ec2 describe-regions 


"Regions": [ 


"Endpoint": "ec2.eu-central-1.amazonaws.com", 
"RegionName": "eu-central-1" 


了 


"Endpoint": "ec2.sa-east-1.amazonaws.com", 
"RegionName": "sa-east-1" 


"Endpoint": "ec2.ap-southeast-2.amazonaws.com", 
"RegionName": "ap-southeast -2" 


"Endpoint": "ec2.ap-southeast-1.amazonaws.com", 
"RegionName": "ap-southeast-1" 


成 功 了 ! 现在 可 以 开始 使 用 CLI 了 。 


4.2.3 ”使 用 CLI 


假如 用 户 想 要 获得 所 有 类 型 为 2.micro 的 EC2 实 例 的 列表 。 在 终端 
上 执行 aws ， 如 下 所 示 : 


$ aws ec2 describe-instances --filters 


"Name=instance- 
type, Values=t2.micro" 


"Reservations": [] - - 空 列表 ， 因 为 还 没有 创建 EC2 实例 
} 


要 使 用 AWS CLI， 需 要 指定 一 个 服务 与 操作 。 在 上 一 个 例子 中 ， 
服务 是 ec2 ， 操 作 是 describe-instances ， 可 以 添加 选项 - -key 


value : 


$ aws <Service> <action> [--key value ...] 


CLI 的 一 个 重要 的 特色 是 help 关键 字 ， 使 用 这 个 关键 字 可 以 得 到 
3 个 级 别 的 详细 帮助 信息 。 


e aws help 显示 所 有 可 用 的 服务 。 
e aws <service> help 显示 某 一 服务 所 有 可 用 的 操作 。 
e aws <service> <action> help 显示 特定 服务 操作 可 用 


的 所 有 选项 。 


有 了 时候 用 户 需 要 临时 的 计算 力 ， 如 Linux 服 务 右 要 通过 SSH 做 测 
试 。 要 做 到 这 一 点 ， 可 以 编写 一 个 脚本 来 创建 一 台 虚 拟 服务 器 。 这 个 
脚本 将 运行 在 用 户 的 本 地 计算 机 上 ， 并 输出 用 户 是 如 何 通过 SSH 和 连接 
到 服务 器 的 。 等 用 户 完成 自己 的 测试 ， 脚 本 将 能 够 终止 这 人 台 虚 拟 服务 
器 。 这 个 脚本 的 使 用 如 下 : 


$ ./server.sh 

waiting for i-c033f117 ... 一- -等 到 启动 

i-c033f117 is accepting SSH connections under ec2-54-164-72-62 ... 
ssh -i mykey.pem ec2-user@ec2-54-[...]aws.com =- -SSH 连接 字符 串 


Press [Enter] key to terminate i-c033f117 ... 
[...] 


terminating i-c033f117 ... -- -等 到 终止 
done. 


ALP AAR a — BA 1T AE F Enterè © 4 A Pek P Enterik, 
服务 器 将 被 终止 。 


这 个 方案 的 局 限 性 如 下 。 


同一 时 刻 只 能 处 理 一 台 服 务 器 。 
Windows 有 一 个 与 Linux 和 Mac OS X 不 同 的 版 本 。 


mz 


已 古 一 个 命令 行 应 用 ， 而 不 古 图 形 化 应 用 。 


然而 ， 这 个 CLI 方 案 解 决 了 系列 使 用 场景 。 


。 创建 一 台 虚 拟 服务 器 。 
。 获 取 虚 拟 服务 器 的 公有 DNS 名 用 于 SSH 连 接 。 
。 当 不 再 需要 时 ， 终 止 一 台 虚 拟 服务 器 。 


根据 用 户 所 用 的 操作 系统 不 同 ， 可 以 使 用 Bash (Linux 和 Mac OS 
X) 或 PowerShell (Windows) 来 写 脚 本 。 


在 开始 之 前 需要 解释 一 个 CLI 的 重要 功能 。- -query 选项 使 用 
JMESPath (一 种 JSON 的 查询 语言 从 结果 中 提取 数据 。 这 是 非常 有 
用 的 ， 因 为 通常 用 户 只 需要 结果 中 某 个 特别 的 项 。 让 我 们 来 看 看 下 面 
的 JSON 中 JMESPath 的 操作 。 这 是 aws ec2 describe-images 的 
结果 ， 列 出 了 可 用 的 AMI。 要 局 动 一 个 EC2 实 例 ， 需 要 ImageId ， 使 
用 JMESPath 可 以 提取 到 这 一 信息 : 


"Images": [ 


"ImageId": "ami-146e2a7c", 
"State": "available" 


"ImageId": "ami-b66ed3de", 
"State": "available" 


要 提取 第 一 个 ImageId ， 路 径 为 Images[60] ,ImageId ， 这 个 
查询 的 结果 是 "ami-146e2a7c" 。 要 提取 所 有 State ， 路 径 为 
Images[*].State ， 这 个 查询 的 结果 为 ["available",， 
"available"] 。 使 用 JMESPath 的 简单 介绍 ， 我 们 已 经 能 够 提取 到 
所 需 的 数据 。 


Linux 和 Mac OS X 能 解释 脚本 ， 而 Windows 更 喜欢 PowerShell 脚 
本 。 我 们 创建 了 同一 脚本 的 两 个 版 本 。 


1. Linux 和 Mac OS X 


读者 能 在 本 书 的 代码 目录 中 的 /chapter4/server ,sh 找到 代 
码 清单 4-3， 可 以 复制 并 粘贴 每 一 行 到 终端 或 通过 chmod +x 
server .sh && ./server.sh 执行 整个 脚本 。 


代码 清单 4-3 ”使 用 CLI (Bash) 创建 与 终止 一 台 服 务 器 


#!/bin/bash -e --- 当 命令 出 错时 中 目 
AMIID=$(aws ec2 describe-images --filters "Name=description, \ 
-- -获取 Amazon Linux AMI 的 ID 


Values=Amazon Linux AMI 2015.03.? x86_64 HVM GP2" \ 
--query "Images[0].ImageId" --output text) 


VPCID=$(aws ec2 describe-vpcs --filter "Name=isDefault, 
Values=true" \ -- -获取 默认 VPC 的 ID 
--query "Vpcs[0].VpcId" --output text) 


SUBNETID=$(aws ec2 describe-subnets --filters "Name=vpc-id, 
Values=$VPCID" \ 
--query "Subnets[0].SubnetId" --output text) -- -获取 默认 子 网 ID 


SGID=$(aws ec2 create-security-group --group-name mysecuritygroup 
\ 一- -创建 安全 组 
--description "My security group" --vpc-id $VPCID --output text) 


aws ec2 authorize-security-group-ingress --group-id $SGID \ 和 一 - 
-人 允许 入 站 SH 连接 
--protocol tcp --port 22 --cidr 0.0.0.0/0 


INSTANCEID=$(aws ec2 run-instances --image-id $AMIID --key-name 
mykey \ =- -创建 并 启动 服务 器 

--instance-type t2.micro --security-group-ids $SGID \ 
--subnet-id $SUBNETID --query "Instances[0].InstanceId" --output 
text) 


echo "waiting for $INSTANCEID ..." 


aws ec2 wait instance-running --instance-ids $INSTANCEID 一 - -等 


PRA Arm 


PUBLICNAME=$(aws ec2 describe-instances --instance-ids $INSTANCEID 
\ =- -获取 服务 器 的 公有 域名 
--query "Reservations[0].Instances[0].PublicDnsName" --output 
text) 


echo "$INSTANCEID is accepting SSH connections under $PUBLICNAME" 
echo "ssh -i mykey.pem ec2-user@$PUBLICNAME" 
read -p "Press [Enter] key to terminate $INSTANCEID ..." 
aws ec2 terminate-instances --instance-ids $INSTANCEID 一- -终止 
ARB at 

echo "terminating $INSTANCEID ..." 
aws ec2 wait instance-terminated --instance-ids $INSTANCEID 一 - 
-等 到 服务 器 终止 


aws ec2 delete-security-group --group-id $SGID —- -删除 安全 组 


己 经 终止 了 服务 器 ! 


在 继续 下 一 步 操作 之 前 一 定 要 确保 


2. Windows 


代码 清单 4-4 可 以 在 本 书 的 代码 目录 /chapter4/server .ps1 
中 找到 。 


右键 点 击 server.psl 文 件 ， 选 择 Run with PowerShell 来 执行 这 一 脚 
本 [0] 


代码 请 单 4-4 FACLI (PowerShell) 来 创建 和 终止 一 台 服 务 器 


$ErrorActionPreference = "Stop"--- 当 命令 出 错时 中 止 


$AMIID=aws ec2 describe-images --filters "Name=description, \ 
-- -获取 Amazon Linux AMI 的 ID 

Values=Amazon Linux AMI 2015.03.? x86_64 HVM GP2" \ 

--query "Images[0].ImageId" --output text 


$VPCID=aws ec2 describe-vpcs --filter "Name=isDefault, 
Values=true" \ -- -获取 默认 VPC 的 ID 
--query "Vpcs[0].VpcId" --output text 


$SUBNETID=aws ec2 describe-subnets --filters "Name=vpc-id, 
Values=$VPCID" \ 
--query "Subnets[0].SubnetId" --output text <- -获取 默认 子 网 ID 


$SGID=aws ec2 create-security-group --group-name mysecuritygroup \ 


-- -创建 安全 组 
--description "My security group" --vpc-id $VPCID \ 
--output text 


aws ec2 authorize-security-group-ingress --group-id $SGID \ 和 一- 
-人 允许 入 站 SSH 连接 
--protocol tcp --port 22 --cidr 0.0.0.0/0 


$SINSTANCEID=aws ec2 run-instances --image-id $AMIID --key-name 
mykey \ 一- -创建 并 启动 服务 器 

--instance-type t2.micro --security-group-ids $SGID \ 
--subnet-id $SUBNETID \ 

--query "Instances[0].InstanceId" --output text 


Write-Host "waiting for $INSTANCEID ..." 
aws ec2 wait instance-running --instance-ids $INSTANCEID 一- -等 


到 服务 器 局 动 


$PUBLICNAME=aws ec2 describe-instances --instance-ids $INSTANCEID 
\ =- -获取 服务 器 的 公有 域名 


--query "Reservations[0].Instances[0].PublicDnsName" --output text 


Write-Host "$INSTANCEID is accepting SSH under $PUBLICNAME" 
Write-Host "connect to $PUBLICNAME via SSH as user ec2-user" 
Write-Host "Press [Enter] key to terminate $INSTANCEID ..." 
Read -Host 


aws ec2 terminate-instances --instance-ids $INSTANCEID -- -终止 
服务 器 

Write-Host "terminating $INSTANCEID ..." 

aws ec2 wait instance-terminated --instance-ids $INSTANCEID 一 - 
-等 到 服务 器 终止 

aws ec2 delete-security-group --group-id $SGID ~- -删除 安全 组 


在 继续 下 一 步 操作 之 前 一 定 要 确保 已 经 终止 了 服务 器 


3. 为 什么 要 写 脚本 


为 什么 要 写 脚本 ， 而 不 是 使 用 图 形 化 的 AWS 管 理 控制 台 ? 脚本 可 
以 复 用 ， 并 且 在 长 时 间 操 作 时 节省 时 间 。 用 户 能 够 使 用 目 己 之 前 的 项 


目 中 已 经 可 用 的 模块 来 快速 创建 靳 的 架构 。 通 过 使 目 己 的 基础 架构 创 
建 目 动 化 ， 用 户 也 能 够 加 强 目 己 的 部 署 流 水 线 的 目 动 化 。 


男 一 个 好 处 是 ， 脚 本 将 是 能 想象 的 最 准确 的 文档 (甚至 计算 机 能 
HC) 。 如 果 你 想 在 周一 重复 上 周 五 自己 做 的 事 ， 脚 本 就 是 无 价 之 
ae i 再 了， 而 你 的 同事 需要 处 理 好 你 的 任务 ， 他 们 会 感激 你 留 


4.3 ”使 用 SDK 编 程 


AWS 为 许多 编程 语言 提供 软件 开发 套件 (Software Development 
Kits, SDK) : 


m Android m Python 
m Node.js (JavaScript) m Java 

m Browsers (JavaScript) m Ruby 

m PHP m NET 
E iOS E Go 


AWS SDK 是 从 用 户 喜 欢 的 编程 语言 调用 AWS API 的 便捷 方法 。 
SDK 会 处 理 好 类 似 认证 、 重 试 、HTTPS 通 信和 JSON (还 原 ) 序列 化 。 
用 户 可 以 自由 选择 自己 喜欢 的 语言 的 SDK， 但是， 在 本 书 中 所 有 示例 
使 用 JavaScript， 并 且 在 Node.js 运 行 环境 中 运行 。 


十 开始 使 用 Node.js 


Node.js 是 一 个 在 事件 驱动 环境 下 执行 JavaScript 的 平台 ， 且 容易 创建 网 络 应 用 。 要 安装 
Node.js， 访 问 Node.js 官 方 网 站 ， 然 后 下 载 适 合 自 己 的 操作 系统 的 程 FE e 


Node.js 安 装 好 后 ， 就 可 以 通过 在 终端 输入 node - -version 来 验证 一 切 都 可 用 。 终 
端 应 该 会 产生 类 似 于 v0.12.* 的 回应 。 现 在 就 可 以 运行 我 们 的 JavaScript 示 例 了 ， 如 Node 
Control Center for AWS ° 


_ 随 着 Nodejs 安 装 的 有 一 个 重要 的 工具 叫 作 npm， 它 是 Node.js 的 程序 包 管理 器 。 在 终端 
上 运行 hpm --version 来 验证 安装 。 


要 在 Node.js 中 运行 JavaScript 脚 本 ， 在 终端 输入 node script.js。 本 书 中 使 用 
Node.js 是 因为 它 容易 安装 ， 不 需要 IDE， 并 且 大 多 数 程序 员 是 熟悉 其 语法 的 。 


不 要 混淆 术语 JavaScript 和 Node.js。 如 果 想 弄 Lol ie 、JavaScript 是 编程 语言 ， 而 


Node.js 是 执行 环境 。 但 是 ， 别 期 待 任何 人 能 做 这 样 的 区 分 。Node.js 也 叫 作 node ° 


为 了 理解 Node.js (JavaScript) 上 的 AWS Se 


我 们 创建 一 个 Nodej js (JavaScript) 应 用 来 通过 AWS 
fit ° 


4.3.1 ”使 用 SDK 控 制 虚拟 服务 器 : nodecc 


Node Control Center for AWS (nodecc) 是 一 个 用 JavaScript 编 写 的 
有 文本 UI 的 能 管理 多 个 量 时 EC2 服 务 器 的 应 用 ° nodecc 具 有 下 列 功 
HE ° 
。 能 处 理 多 个 服务 
° 用 JavaScript 编 日 汉 行 在 Nodejs， 因此 它 能 跨 平 台 使 用 。 
。 使 用 文本 UI。 


图 4-11 展 示 了 nodecc 的 开始 界面 。 


选择 一 个 你 想 用 的 操作 ， 然 后 按 Enter 键 ， 按 左 箭头 键 返回 Actions 菜单 


eee nodecc — Node Control Center for AWS — node — 120x20 


图 4-11 Node Control Center for AWS: 开始 界面 


读者 可 以 在 本 书 的 代码 目录 /chapter4/nodecc/ 中 找到 nodecc 
应 用 。 切 换 到 那个 日 录 ， 在 终端 上 运行 Npminstall 来 安装 所 有 需要 


的 依赖 项 。 要 启动 nodecc， 先 运行 nodeindex, js“。 总 是 可 以 使 用 左 
箭头 键 来 返回 ， 按 Esc 键 或 q 键 来 退出 应 用 。 


SDK 使 用 你 为 CLI 所 创建 的 相同 设置 ， 所 以 当 你 运行 hodecc 时 也 使 
用 用 户 mycli。 


4.3.2 ”nodecc 如 何 创建 一 台 服 务 器 


在 能 使 用 nodecc 做 任何 事 之 前 ， 用 户 需 要 至 少 一 台 服 务 右 。 要 局 
动 一 台 服 务 器 ， 选 择 AMI， 如 图 4-12 所 示 。 


选择 你 想 要 为 新 EC2 服 务 器 使 用 的 AMI 


eee nodecc — Node Control Center for AWS — node — 120x20 


图 4-12 nodecc: 创建 一 台 服 务 器 (2 步 中 的 第 一 步 ) 


用 于 获取 可 用 AMI 列 表 的 代码 在 libylistAMIs.js 中 ， 具 体内 容 如 代 
码 清单 4-5 所 示 。 


代码 清单 4-5 /lib/listAMIs.js 


var jmespath = require('jmespath'); «--require 用 来 装载 模块 

var AWS = require('aws-sdk'); 

var ec2 = new AWS.EC2({"region": "us-east-1"}); -- -配置 一 个 EC2 
端点 

module.exports = function(cb) { «--module.exports 使 这 个 函数 能 被 


listAMI 模块 的 用 户 使 用 
ec2.describeImages({ =- -操作 


"Filters": [f{ 
"Name": "description", 
"Values": ["Amazon Linux AMI 2015.03.? x86_64 HVM GP2"] 
}] 
}, function(err, data) { 
if (err) { ---J— E, KER 
cb(err); 
} else { --- Ail], data 中 包含 所 有 AMI 
var amiIds = jmespath.search(data, 'Images[*].ImageId'); 
var descriptions = jmespath.search(data, 
"Images[*].Description'); 
cb(null, {"amiIds": amilIds, "descriptions": descriptions}); 


} 
}); 


了 


这 段 代码 是 这 样 结构 化 的 ， 每 个 操作 都 在 lib 库 文件 夹 中 实现 。 创 
建 一 台 服 务 器 的 下 一 步 是 选择 服务 器 启动 时 应 该 在 的 子 网 。 我 们 还 没 
有 学 习 子 网 ， 因 此 目前 先 随 机 选择 一 个 ， 如 图 4-13 所 示 。 相 应 的 脚本 
位 于 lib/listSubnets.js ° 


选择 你 想 让 新 EC2 服 务 器 使 用 的 子 网 。 


eee nodecc — Node Control Center for AWS — node — 120x20 


图 4-13 nodece: 创建 一 台 服 务 器 (2 步 的 第 二 步 ) 


在 选择 了 子 网 之 后 ， 服 务 器 将 由 1ib/createServer .js 创 
建 ， 然 后 我 们 会 看 见 一 个 启动 屏幕 。 现 在 是 时 候 找 出 新 创建 的 服务 器 
的 公有 DNS 名 了 。 使 用 左 箭头 键 切换 到 导航 部 分 。 


4.3.3 ”nodecc 是 如 何 列 出 服务 器 并 显示 服务 器 的 
详细 信息 


一 个 重要 的 使 用 场景 是 nodecc 必 须 文 持 显 示 能 通过 SSH 连 接 的 服 
务 絮 的 公有 和 名。 因为 nodecc 处 理 多 台 服 务 器 ， 第 一 步 是 选择 一 台 服 务 
器 ， 如 图 4-14 所 示 。 


所 有 正在 运行 的 服务 器 用 它们 的 EC2 实 例 ID 列 出 。 


eee nodecc — Node Control Cefiter for AWS — node 一 120x20 


图 4-14 nodecc: 列 出 服务 器 


让 我 们 看 一 下 lib/1listServers .js 中 是 如 何 使 用 AWS SDK 来 
获取 服务 器 列表 的 。 在 选择 了 服务 器 之 后 ， 就 可 以 显示 它 的 详细 信 
息 ， 如 图 4-15 所 示 。 你 可 以 通过 SSH 使 用 Pub1LicDnsName 连接 到 这 
台 服 务 器 实例 。 按 左 箭头 键 切换 回 导 航 部 分 。 


服务 器 公有 Dns 名 可 以 被 用 用 于 SSH 


ece nodecc 一 Node Control Center for AWS — node 一 120x20 
act 


图 4-15 nodecc: 显示 服务 器 的 详细 信息 


4.3.4 _ nodecc 如 何 终止 一 台 服 务 器 


用 户 首 移 需 要 选择 服务 器 以 进行 终止 操作 。 再 次 使 用 
1ib/listServers,.js 列 出 服务 器 。 选 择 好 要 终止 的 服务 右 后 ， 使 


用 lib/terminateServer .js 会 负责 进行 终止 。 


这 就 是 nodecc 一 一 一 个 用 于 控制 临时 的 EC2 服 务 右 的 文本 界面 程 
序 。 读 者 可 以 伦 些 时 间 想 想 看 ， 使 用 目 己 最 喜欢 的 编程 语言 和 AWS 
SDK 可 以 搭建 什么 应 用 ， 很 有 可 能 会 想到 一 个 不 错 的 商机 。 


在 继续 下 一 步 操 作 之 前 一 定 要 确保 已 经 终止 了 所 有 的 服务 器 ! 


44 使 用 蓝图 来 启动 一 台 虚 拟 服务 器 


早 些 时 候 ， 我 们 谈 到 JIML 来 引入 基础 架构 即 代码 的 概念 。 笠 运 的 
是 ，AWS 已 经 提供 了 一 个 比 JIML 更 好 的 工具 : AWS CloudFormation ° 
， 也 就 是 我 们 称 作 蓝图 的 东 


A 


通常 我 们 在 讨论 基础 架构 自动 化 时 使 用 蓝图 (blueprint) XH 
AWS CloudFormation 使 用 的 蓝图 被 称 为 模板 (template) ° 


的 术语 再 


| 


模板 使 用 JSON 描 述 了 用 户 的 基础 架构 ，CloudFormation 能 对 其 进 
行 解析 。 用 户 只 需要 使 用 声明 的 表 壕 语言 ， 而 不 是 给 出 实现 它 需 要 的 


所 有 操作 。 描 述 的 方法 意味 着 用 户 告 诉 CloudFormation 需 要 什么 样 的 
基础 架构 以 及 组 件 之 间 是 怎样 连接 的 。 用 户 不 需要 告诉 
CloudFormation 需 要 哪些 操作 来 创建 那样 的 基础 架构 ， 不 需要 定义 操 
作 被 执行 的 顺序 。 再 次 强调 ， 人 处 理 组 件 之 间 的 依赖 关系 很 重 ， 但 是 
CloudFormation 还 能 提供 更 多 的 好 处 。 


CloudFormation 的 好 处 如 下 。 
。 它 让 用 户 在 AWS 平 台 上 统一 的 方式 来 描述 基础 架构 。 如 果 用 户 用 


脚本 来 创建 目 己 的 基础 架构 ， 每 个 人 会 用 不 同 的 方法 解决 同样 的 
问题 。 这 对 新 开发 人 员 与 运 维 人 员 十 个 障碍 ， 他 们 需要 努力 去 理 


ere 。CloudFormation 模 板 是 一 个 定义 基础 架构 的 清 
晰 的 语言 。 

它 能 处 理 依 赖 关 系 。 试 过 把 网 络 服 务 絮 注册 到 一 个 还 不 可 用 的 负 
载 均衡 器 吗 ? 初 看 起 来 ， 使 用 脚本 的 方法 用 户 会 搞 错 很 多 依赖 
项 。 相 信 我 们 : 永远 不 要 尝试 使 用 脚本 来 创建 一 个 复杂 的 基础 架 
构 。 组 件 之 间 的 依赖 关系 会 变 得 一 团 糟 ， 

它 是 可 复制 的 。 如 何 使 用 户 的 测试 环境 和 生产 环境 保持 完全 一 
致 ? 使 用 CloudFormation， 用 户 能 创建 两 个 完全 一 样 的 基础 架构 
并 且 保 持 它们 同步 。 

它 是 可 上 自 定 义 的 。 用 户 可 以 癌 CloudFormation 插 入 自 定义 的 参数 
来 按期 望 目 定义 模板 。 

。 它 是 可 测试 的 。 从 模板 创建 基础 架构 是 可 测试 的 。 随 时 可 以 按 需 
局 动 一 个 新 的 基础 架构 ， 运 行 测试 ， 完 成 后 再 关 掉 它 。 

它 是 可 更 新 的 。CloudFormation 可 以 更 新 用 户 的 基础 架构 。 它 将 
找 出 模板 中 改变 了 的 部 分 ， 然 后 将 这 些 变 化 尽 可 能 平滑 地 应 用 到 
现 有 的 基础 架构 。 

© 它 最 小 化 人 为 的 误 操 作 。CloudFormation 不 会 感到 疲倦 一 即使 
是 在 竣 晨 3 点 。 

它 把 基础 架构 文档 化 。CloudFormation 模 板 是 一 个 JSON 文 档 。 用 
然后 使 用 一 个 版 本 控制 系统 (如 Git) 来 跟 
MER 


。 它 是 免费 的 。CloudFormation 服 务 本 和 号 不 会 产生 额外 费用 。 


我 们 认为 CloudFormation 是 在 AWS 上 管理 基础 染 构 的 最 强 的 工具 


4.4.1 ”CloudFormation 模 板 解 析 


一 个 基本 的 CloudFormation 模 板 分 为 5 个 部 分 。 
(1) 格式 版 本 最 新 的 模板 格式 版 本 是 2010-09-09， 且 是 目前 
唯一 合法 的 值 。 指 定 这 个 值 ， 默 认 是 最 新 版 本 ， 如 果 将 来 引入 新 格式 
的 版 本 ， 这 有 可 能 会 引发 问题 。 


(2) 描述 一 一 这 个 模板 是 关于 什么 的 ? 


(3) 参数 
ID 和 数据 库 密码 。 


(4) 资源 -项 资源 是 用 户 能 描述 的 最 小 组 件 。 例 如 ， 虚 拟 
AEO A ERIS An ER ETP HEHE o 


(5) 输出 一 一 输出 和 参数 有 点 儿 像 ， 但 是 用 途 正好 相反 。 输 出 
从 模板 返回 一 些 信息 ， 如 一 台 EC2 服 务 右 的 公有 域名 。 


一 个 基本 模板 如 代码 清单 4-6 所 示 。 


参数 使 用 值 用 来 目 定义 模板 。 例 如 ， 域 名 、 客 户 


服务 


代码 清单 4-6 ”CloudFormation 模 板结 构 


"AWSTemplateFormatVersion": "2010-09-09", 一- -唯一 合法 版 本 

"Description": "CloudFormation template structure", =- -这 个 模 
板 是 关于 什么 的 

"Parameters": { 


[...] 一- -定义 参数 


了 
"Resources": { 


ty 
"Outputs": { 
[teed -- - RE RTH 
} 
} 


让 我 们 进一步 看 看 参数 、 资 源 和 输出 。 
1. 格式 版 本 及 描述 


唯一 合法 的 AWSTemplateFormatVersion 值 目前 是 "2010- 
09-09"。 用 户 需 要 指定 格式 版 本 。 如 果 不 指定 ，CloudFormation 会 认 
为 是 最 新 版 本 。 前 面 提 到 ， 这 意味 着 如 果 在 将 来 有 了 一 个 新 的 格式 版 
本 ， 会 陷入 严重 的 麻烦 之 中 。 


Description 不 是 强制 的 ， 但 是 建议 读者 花 些 时 间 来 描述 模板 
的 用 途 。 一 个 有 意义 的 描述 将 来 有 助 于 自己 记 起 这 个 模板 是 干什么 


的 ， 它 也 能 帮助 其 他 同事 理解 。 
2. BR 


参数 至 少 有 一 个 名 字 和 类 型 。 建 议 用 户 同时 添加 一 个 描述 ， 如 代 
码 清单 4-7 所 示 。 


代码 清单 4-7 CloudFormation 参 数 结构 


{ 


[ee] 
"Parameters": { 
"NameOfParameter": { 一 - -参数 名 
"Type": "Number", =- -这 个 参数 是 个 数字 


"Description": "This parameter is for demonstration" 


表 4-1 列 出 了 合法 的 类 型 。 
表 4-1 ”CloudFormation 参 数 类 型 


String CommaDelimitedList 


一 个 整数 或 浮 点 数 或 整数 列表 或 浮 


Number List<Number> a 
点 数列 表 


AwSs::EC2::Instance::Id 一 个 EC2 实 例 ID (虚拟 服务 器 ) 或 
List<AWS: :EC2::Instance: :Id> 一 个 EC2 实 例 ID 列 表 


AWS: :EC2: 
List<Aws: 


AWS: :EC2: 
List<Aws: 


AWS: :EC2: 
List<Aws: 


AWS: :EC2: 
List<Aws: 


: Image: : Id 
:EC2: : Image: :Id> 


::KeyPair: :KeyName 


:SecurityGroup: : Id 
:EC2: :SecurityGroup:: 


:Subnet::Id 
:EC2: :Subnet::Id> 


:Volume: : Id 
:EC2: :Volume: :Id> 


: :VPC: :Id List<AWS: :EC2::VPC::Id> 


AWS: :Route53: :HostedZone: :Id 


List<AWS: 


除了 使 用 Type SDescription 


:Route53: :HostedZone: :Id> 


的 属性 来 增强 一 个 参数 。 
表 4-2 ”CloudFormation 参 数 属性 


属 


Default 


性 


参数 的 默认 值 


一 个 AMI ID 或 AMI 列 表 


一 个 Amazon EC2 密 钥 对 名 


一 个 子 网 ID 或 子 网 ID 列表 


一 个 EBS 卷 ID 《网 络 附加 存储 ) 或 


EBS 卷 ID 列表 


一 个 VPCID (虚拟 私有 网 络 ) 或 


VPC ID 列 表 


区 域 ID 或 DNS 


， 用 户 还 可 以 使 用 


区 域 ID 列表 


表 4-2 中 列 出 


在 所 有 图 形 化 工具 中 隐藏 参 


NoEcho m z: "NoEcho": true 
对 密码 有 用 ) 


AllowedValues 能 值 "AllowedValues": ["1", "2", "3"] 


"AllowedPattern": "[a-zA-Z0-9]*" 
只 允许 a~z、A~Z 和 0~9， 长 度 任 
ze 
j=] 


way 


AllowedPattern 比 AllowedValues 更 通 / 
因为 它 使 用 正则 表达 式 


wintengtn、 | 与 字符 串 类 型 一 起 使 用 ， 用 
MaxLength 来 定义 最 小 长 度 和 最 大 长 度 


MinValue ` 与 数字 类 型 一 起 使 | 
MaxValue 定义 上 下 限 


CloudFormation 模 板 的 参数 部 分 如 下 : 


{ 
tere 
"Parameters": { 
"KeyName": { 
"Description": "Key Pair name", 
"Type": "AWS: :EC2::KeyPair: :KeyName" 一- -只 人 允许 KeyName 
ty 
"NumberOfServers": { 
"Description": "How many servers do you like?", 
"Type": "Number", 
"Default": "1", -- -默认 为 一 台 服务 器 
"MinValue": "1", 
"MaxValue": "5" =- -设置 上 限 以 免 产 生 大 量 开销 
ty 
"WordPressVersion": { 
"Description": "Which version of WordPress do you want?", 
"Type": "String", 
"AllowedValues": ["4.1.1", "4.0.1"] -- -限制 特定 版 本 


现在 我 们 应 该 对 参数 有 了 更 好 的 感觉 。 如 条 想 了 解 参数 的 一 切 ， 
可 以 访问 AWS 官 方 网 站 或 紧 跟 本 书 内 容 动手 学 习 。 


3. 资源 


一 个 名 字 、 一 个 类 型 和 一 些 属 性 ， 如 代码 清单 4-8 
ZR œ 


代码 清单 4-8 ”CloudFormation 资 源 结构 


{ 


"Resources": { 
"NameOfResource": { 一 - -参数 名 
"Type": "AWS::EC2::Instance", 一- -定义 一 台 EC2 服务 器 
"Properties": { 


[...] =- -资源 类 型 所 需 的 属性 


定义 资源 时 ， 用 户 需 要 知道 类 型 和 该 类 型 所 需 的 属性 。 在 本 书 
中 ， 读 者 将 了 解 许多 资源 类 型 以 及 它们 各 自 的 属性 。 代 码 清单 4-9 展 示 
了 单 台 EC2 服 务 器 的 一 个 例子 。 如 果 看 见 
{"Ref":"NameOfSomething"} ， 把 它 当 作 一 个 占 位 符 ， 应 替换 为 
名 称 的 引用 。 用 户 可 以 引用 参数 和 资源 来 创建 依赖 关系 。 


代码 清单 4-9 CloudFormation EC2 服 务 器 资源 


{ 
[ 


] 


esources": { 


"Server": { 一 - -资源 名 
"Type": "AWS: :EC2::Instance"， 一- -定义 一 台 EC2 服务 器 
"Properties": { 

"ImageId": "ami-1ecae776", =- -一 些 硬 编码 的 设置 
"InstanceType": "t2.micro", 


"KeyName": {"Ref": "KeyName"}, =- -这 些 设置 通过 参数 定义 
"SubnetId": {"Ref": "Subnet"} 


现在 我 们 描述 了 服务 器 ， 但 如 何 输出 它 的 公有 DNS 名 呢 ? 
4. 输出 


CloudFormation 模 板 的 输出 包括 至 少 一 个 名 称 (如 参数 和 资源 ) 
和 一 个 值 ， 建 议 读者 同时 添加 一 个 描述 。 读 者 可 以 使 用 输出 来 将 数据 
从 自己 的 模板 传递 到 外 面 ( 见 代码 清单 4-10) 。 


代码 清单 4-10 ”CloudFormation 输 出 结构 


{ 
[x 
"Outputs": { 
"NameOfOutput": { <-- HME 
"Value": "1", <-- HASH 
"Description": "This output is always 1" 


a Ne RAH e ASR IR, HAPASH ARIA Peek bt 
源 的 一 个 属性 ， 如 它 的 公有 DNS 名 ， 如 代码 清单 4-11 所 示 。 


代码 清单 4-11 ”CloudFormation 输 出 示例 


{ 


teed 
"Outputs": { 
"ServerEC2ID": { 
"Value": {"Ref": "Server"}, ---5|HEC2 RA 
"Description": "EC2 ID of the server" 


"PublicName": { 


"Value": {"Fn::GetAtt": ["Server", "PublicDnsName"]}, -- - 获 
得 EC2 服务 器 的 属性 公有 DNS 名 
"Description": "Public name of the server" 


本 书 稍 后 会 介绍 Fn : :GetAtt 的 一 些 最 重要 的 属性 。 如 果 想 了 解 


所 有 的 属性 ， 可 访问 AWS 官 方 网 站 。 


现在 让 我 们 简单 看 一 下 CloudFormation 模 板 的 核心 部 分 ， 是 时 候 
来 制作 一 个 目 己 的 模板 了 。 


4.4.2 ”创建 第 一 个 模板 


假设 你 需要 为 开发 团队 提供 一 台 虚 拟 服务 器 。 几 个 月 之 后 ， 开 发 
团队 意识 基于 应 用 需求 的 变化 ， 这 台 虚 拟 服务 器 需要 更 多 的 CPU。 你 
可 以 使 用 CLI 和 SDK 处 理 这 一 要 求 ， 但 是 正如 3.4 节 所 介绍 的 ， 在 更 改 
实例 类 型 前 ， 用 户 必 须 先 停止 实例 。 具 体 流 程 如 下 : 停止 实例 ， 等 待 
实例 停止 ， 更 改 实例 类 型 ， 启 动 实 例 ， 等 待 实 例 启动 。 


CloudFormation 使 用 的 描述 法 更 简单 : 只 需 改 变 InstanceType 
属性 ， 然 后 更 新 模板 。InstanceType 可 以 通过 参数 传 给 模板 。 就 是 
这 样 ! 你 可 以 开始 创建 模板 了 ， 如 代码 清单 4-12 所 示 。 


代码 清单 4-12 ”用 CloudFormation 模 板 创 建 一 个 EC2 实 例 


"AWSTemplateFormatVersion": "2010-09-09", 
"Description": "AWS in Action: chapter 4", 


"Parameters": { 


"KeyName": { -- -用 户 定 义 将 使 用 哪个 密 钥 
"Description": "Key Pair name", 


"Type": "AWS::EC2::KeyPair: :KeyName", 
"Default": "mykey" 


ty 

"YPC": { ---6.5 节 将 介绍 这 一 内 容 
[aei] 

ty 

"Subnet": { ---6.5 节 将 介绍 这 一 内 容 
[...] 

ty 

"InstanceType": { - -用 户 定义 实例 类 型 
"Description": "Select one of the possible instance types", 
"Type": "String", 

"Default": "t2.micro", 
"AllowedValues": ["t2.micro", "t2.small", "t2.medium" ] 

} 

ty 
"Resources": { 

"SecurityGroup": { ---6.4 节 将 介绍 这 一 内 容 
"Type": "AWS::EC2::SecurityGroup", 
"Properties": { 

[x] 
} 

ty 

"Server": { =- -定义 最 小 EC2 实例 
"Type": "AWS::EC2::Instance", 
"Properties": { 

"ImageId": "ami-1ecae776", 
"InstanceType": {"Ref": "InstanceType"}, 
"KeyName": {"Ref": "KeyName"}, 
"SecurityGroupiIds": [{"Ref": "SecurityGroup"}], 
"SubnetId": {"Ref": "Subnet"} 
} 
} 
ty 
"Outputs": { -- -返回 EC2 实例 的 公有 DNS 名 


"PublicName": { 
"Value": {"Fn::GetAtt": ["Server", "PublicDnsName" ]}, 
"Description": "Public name (connect via SSH as user ec2- 
user)" 


} 


t 
} 


读者 可 以 在 本 书 的 代码 目录 /chapter4/server ， json 中 找到 
这 个 模板 的 完整 代码 。 目 前 不 要 担心 VPC、 子 网 和 安全 组 ， 这 些 内 容 
在 第 6 章 中 会 详细 介绍 。 


EF， 相同 的 文件 位 于 https://s3.amazonaws.com/awsinaction/chapter4/server.json ° 


| 
| 这 个 模板 可 以 从 下 载 的 源 代 码 中 找到 。 我 们 谈 到 的 文件 位 于 chapter4/serverjson。 在 S3 


如 果 从 模板 创建 一 个 基础 架构 ， 则 CloudFormation 称 之 为 堆栈 。 
可 以 认为 模板 对 应 堆栈 ， 就 像 是 类 对 应 对 象 。 模 板 只 存在 一 次 ， 而 许 
多 堆栈 可 以 从 同一 个 模板 中 被 创建 


打开 AWS 管 理 控制 台 FE PAIS RTS”, 然后 点 击 
CloudFormation 服 务 。 图 4-16 显 示 了 初始 CloudFormation 界 面 ， 显示 了 了 
所 有 堆栈 的 概 咒 。 


点 击 从 蓝图 创建 一 个 新 的 基础 设施 重新 加 载 页 面 
@ ClofidFormation ~ 堆栈 
EER 操作 ~ 设计 模板 Cc. | & 
WAR: 活跃 ~ 正在 显示 0 个 堆栈 
创建 堆栈 
AWS CloudFormation 允许 您 快速 和 轻松 地 部 署 自己 的 基础 设施 资源 和 
应 用 程序 在 AWS 上 。 我 们 提供 多 种 示例 模板 ， 例 如 WordPress 或 
Drupal， 帮 助 您 快速 熟悉 如 何 使 用 应 用 程序 ， 您 可 以 从 这 些 模板 中 自由 
选择 ， 也 可 以 自行 制作 模板 。 
您 当前 没有 堆栈 。 选 择 下 方 的 创建 新 堆栈 ， 创 建新 AWS 
Ci i 
创建 新 堆栈 
还 没有 从 蓝图 创建 基础 设施 


图 4-16 ”CloudFormation 堆 栈 概览 
下 面 的 步 又 将 引导 用 户 创建 目 己 的 堆栈 。 

(1) 点 击 “ 创 建新 堆栈 ”按钮 局 动 一 个 4 步 的 向 导 。 
(2) 给 堆栈 起 名 ， 如 server1 。 


(3) 选择 “Specify an Amazon S3 template URL”， 然 后 输入 
https://s3.amazonaws.com/ awsinaction/chapter4/server.json， 如 图 4-17 所 
ZN O 


在 第 二 步 中 ， 定 义 下 面 的 参数 。 
(1) InstanceType : 选择 t2.micro。 
(2) KeyName : 选择 mykey ° 
(3) Subnet : 选择 下 拉 列 表 中 的 第 一 个 值 。 子 网 稍 后 会 介绍 。 
(4) VPC: 选择 下 拉 列 表 中 的 第 一 个 值 。VPC 稍 后 会 介绍 。 


~ 


图 4-17 创建 一 个 CloudFormation 堆 栈 : 选择 一 个 模板 (4 步 的 第 一 步 ) 


图 4-18 展 示 了 参数 设置 步 怠 。 在 为 每 个 参数 选择 了 值 之 后 点 击 “ 下 


一 步 ” 


由 CloudFormation v 堆栈 > 创建 堆栈 


iiia 指定 详细 信息 
| 指定 详细 信息 
选项 


审核 


指定 堆栈 名 称 和 参数 值 。 您 可 以 使 用 或 更 改 在 AWS CloudFormation 模板 中 定义 的 默认 参数 值 。 了 解 更 多 。 


堆栈 名 称 serveri 
参数 
InstanceType -| 
KeyName mykey 
Subnet 0/20) (P 
VPC 3 0.0/16) 


取消 上 一 步 下 一 步 


图 4-18 创建 一 个 CloudFormation 堆 栈 : 定义 参数 (4 步 的 第 二 步 ) 


在 第 三 步 ， 可 以 为 堆栈 定义 标签 。 所 有 由 堆栈 创建 的 资源 都 会 被 
目 动 打上 这 些 标签 。 创 建 一 个 新 标签 ， 输 入 system FARE, 
tempserver 作为 值 。 点 击 “ 下 一 步 *。 第 四 步 显 示 这 个 堆栈 的 总 结 ， 
如 图 4-19 所 示 。 


选择 模板 审核 
指定 详细 信息 
= 模板 
| we 
模板 URL —https://s3.amazonaws.com/awsinaction/chapter4/serverjson 
描述 ”AWS in Action: chapter 4 
估算 费 用 AA 
详细 信息 
堆栈 名 称 serve 
stanceType 
KeyName 
Subnet Bat 
VPC 
选项 
标签 
没有 提供 标签 
高 级 
通知 
终止 保护 RA 
失败 时 回 浪 Æ 


取消 上 一步 


图 4-19 ”创建 一 个 CloudFormation 堆 栈 : 总 结 (4 步 的 第 四 步 ) 


点 击 “ 创 建 *”。 现在 堆栈 创建 好 了 。 如 果 这 个 过 程 成 功 ， 会 看 见 如 
图 4-20 所 示 的 界面 。 只 要 “状态 ”还 是 CREATE_IN_PROGRESS， 就 需 


BM Be o HARAR HCREATE_COMPLETE, HRANE, s 
击 “ 输 出 ”标签 页 来 查看 服务 器 的 公有 域名 。 


YY 


® CloudFormation ~ 堆栈 


操作 ~ 设计 模板 C | & 


筛选 条 件 : 活跃 正在 显示 1 个 堆栈 
堆栈 名 称 创建 时 间 状态 描述 
加 Server1 2017-11-11 14:56:19 UTC+0800 CREATE_COMPLETE AWS in Action: chapter 4 
概述 输出 资源 St 模板 参数 标签 堆栈 策略 EAR BEBE 
键 值 描述 导出 名 称 
PublicName oe SANAR A NA ONT Public name (connect via SSH as user... 
pute.amazı iws.com 


图 4-20 ”创建 CloudFormation 堆 栈 


古 时 候 来 测试 新 功能 修改 实例 类 型 。 选 择 这 个 堆栈 ， 选 
择 “ 操 作 ” 菜 单 ， 点 击 “ 更 新 堆栈 ”菜单 项 。 局 动 的 回 导 和 创建 堆栈 时 的 
操作 类 似 。 图 4-21 显 示 了 同 导 的 第 一 步 。 


emasnloudFormation v ”堆栈 > 堆栈 细节 > 更 新 堆栈 


更 新 serveri 堆栈 


| sae: 选择 模板 

指定 详细 信息 

选项 要 更 新 现 有 堆栈 ， 请 提供 一 个 为 所 要 更 新 的 资源 和 属性 指定 了 更 改 的 模板 。AWS CloudFormation 只 会 更 新 已 更 改 的 资源 。 了 
解 更 多 。 

审核 


选择 一 个 模板 ”模板 是 JSON/YAML 格式 文本 文件 ， 它 描述 您 的 堆栈 的 资源 及 其 属性 。 了 解 更 多 。 
O 使 用 当前 模板 
在 Designer 中 查看 /编辑 模板 
将 模板 上 传 到 Amazon S3 
Browse... No file selected. 


指定 Amazon S3 模板 URL 


取消 下 一 步 


图 4-21 更 新 CloudFormation 堆 栈 : 总 结 (4 步 的 第 一 步 ) 


确认 选中 了 “使 用 当前 模板 ”。 在 第 二 步 ， 需 要 更 改 InstanceType， 
选择 t2.small 或 t2.medium 来 让 服务 器 计算 能 力 翻 两 番 。 


启动 一 台 实 例 类 型 为 t2.small 或 {2.medium 的 虚拟 服务 器 会 产 4 


第 三 PRT Eo ERAS NET 。 现在 还 不 需要 这 些 功 能 
所 以 点 击 。 ‘下 一 步 * 跳 过 这 一 步 。 第 四 步 是 一 个 总 结 : 点 击 “ 更 新 ”。 现 
在 Me ee a a ta 。 几 分 钟 后 , “状态 ”应 
该 会 变 为 UPDATE_COMPLETE。 可 以 选择 这 个 堆栈 ， 通 过 点 击 “ 输 
出 ?标签 页 来 查看 服务 器 的 公有 域名 。 


4 CloudFormation#)% 


an 


如 果 用 户 不 想 写 JSON 文 本 来 为 自己 的 基础 架构 创建 模板 ， 有 几 个 替代 CloudFormation 
的 方案 。 像 Troposphere 〈 一 个 用 Python 写 的 库 ) 这 样 的 工具 可 以 帮助 用 户 创 建 
CloudFormation 模 板 ， 而 不 需要 写 JSON。 它 们 在 CloudFormation 上 另外 加 一 个 抽象 层 来 实 
现 这 一 点 。 


还 有 一 些 工具 能 让 用 户 使 用 基础 架构 即 代码 ， 而 不 需要 CloudFormation， 如 Terraform 
和 Ansible 让 用 户 将 自己 的 基础 架构 描述 为 代码 。 


修改 参数 时 ，CloudFormation 会 找 出 需要 做 些 什 么 才能 达到 最 终 
o. 是 描述 法 的 力量 : 说 出 最 终结 果 是 什么 样 ， 而 不 是 怎样 达 
到 最 终结 


45 小 结 


。 可 以 使 用 命令 行 接口 (CLD 、 开 发 工具 套件 或 CloudFormation 在 
AWS 上 自动 化 自己 的 基础 架构 。 

e a 即 代 码 描述 了 编写 程序 来 创建 与 修改 基础 架构 (包括 虚 
拟 服务 ` 网络 、 存储 等 ) 的 方法 。 

° 可 以 便 用 CLI 通 过 脚本 (Bash PowerShell) 的 方式 在 AWS 上 自动 
化 复杂 的 流程 。 

。 可 以 使 用 9 种 编程 语言 的 SDK 来 将 AWS 租 入 目 己 的 应 用 并 创建 
nodecc 这 样 的 应 用 。 

e CloudFormation 使 用 JSON 描 述 法 : 用 户 只 需要 定义 目 己 的 基础 架 
构 的 最 终 状 态 ， 而 CloudFormation 会 找 出 如 何 达 到 这 个 状态 9 
CloudFormation 模 板 的 主要 部 分 有 参数 、 资 源 和 输出 。 


第 5 章 ”自动 化 部 署 : CloudFormation ` 
Elastic Beanstalk 和 OpsWorks 


本 章 主要 内 容 


。 在 服务 器 启动 时 运行 脚本 来 部 署 应 用 

。 在 AWS Elastic Beanstalk 的 帮助 下 部 署 普通 的 网 站 应 用 
。 在 AWS OpsWorks 的 帮助 下 部 署 多 层 应 用 

。 比较 AWS 上 的 部 署 服务 的 不 同 


不 论 想 用 目 主 开发 的 、 开 源 项 目的 ， 还 是 商业 三 商 的 软件 ， 都 需 
要 安 猴 、 更 新 和 配置 应 用 程序 及 其 依赖 的 组 件 。 这 一 过 程 称 为 部 署 。 
在 本 章 中 ， 我 们 将 学 习 AWS 上 用 于 部 署 应 用 的 3 个 工具 。 


ee 

个 VPN 方 案 。 

。 使 用 AWS Elastic Beanstalk 来 部 署 一 个 协作 文本 编辑 器 。 文 本 编辑 
右 Etherpad 是 一 个 简单 的 网 络 应 用 程序 ， 非 常 适 合 使 用 AWS 
Elastic Beanstalk 进 行 部 署 ， 因为 这 个 服务 原生 文 持 Nodejs 乎 台 。 

e 使 用 AWS OpsWorks# 部 署 一 个 IRC 了 网 络 客户 端 和 IRC 服 务 右 。 安 装 
包含 两 部 分 = 分 发 IRC 网 络 客 尸 问 的 Node.js 服 务 絮 和 IRC 
服务 器 本 身 。 这 个 例子 包含 了 多 层 结构 ， 非 常 适合 AWS 
OpsWorks ° 


虽然 本 章 中 所 选 的 示例 都 不 需要 存储 方案 ， 但 是 这 3 个 部 署 方案 都 
文 持 有 存储 方案 的 应 用 的 发 布 。 读 者 可 以 在 本 书 的 下 一 部 分 找到 使 用 
存储 的 例子 。 


ee i 只 要 不 是 运行 这 些 示例 好 几 天 ， 就 不 需要 文 


付 任何 费用 。 记 住 ， 这 仅 适 用 于 读者 为 学 习 本 书 刚 刚 创建 的 全 新 AWS 账 户 ， 并 且 在 这 个 
AWSIEP Bik 其 他 活动 。 尽 量 在 几 天 的 时 间 里 完成 本 章 中 的 示例 ， 在 每 个 示例 完成 后 务 
清理 册 
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以 一 个 广泛 使 用 的 博客 平台 WordPress 为 例 加 以 说 明 。 


(1) 安装 Apache HTTP 服务 器 、MySQL 数 据 库 、PHP 运 行 环境 、 
供 PHP 调 用 的 MySQL 访 问 库 和 一 个 SMTP 邮 件 服务 器 。 


(2) 下 载 WordPress 应 用 ， 然 后 在 服务 器 上 解压 缩 。 
(3) 配置 Apache 网 站 服务 器 使 之 能 运行 PHP 应 用 。 
(4) 配置 PHP 运 行 环境 来 调整 性 能 并 提高 安全 性 。 
(5) 编辑 wp-config.php 文 件 来 配置 WordPress 应 用 。 


(6) 编辑 9MTP 服 务 器 的 配置 ， 确 保 只 有 虚拟 服务 器 能 发 送 邮 
件 ， 以 免 被 垃圾 邮件 发 送 者 滥用 。 


(7) 启动 MySQL、SMTP 和 HTTP 服 务 。 


第 1~2 步 处 理 安装 及 更 新 可 执行 程序 。 这 些 可 执行 程序 在 第 3~6 
步 被 配置 。 第 7 步 启动 这 些 服务 。 


系统 管理 员 经 党 根据 操作 指南 手动 进行 这 些 步 又 。 不 推 戎 手动 部 
效应 用 在 灵活 的 云 环境 中 。 相 反 ， 我 们 的 目标 是 使 用 接 下 来 介绍 的 各 
种 工具 来 使 这 些 步 又 目 动 化 。 


5.1 在 灵活 的 云 环境 中 部 署 应 用 程序 


如 膝 想 利用 云 的 优势 ， 例 如 ， 根 据 当 前 负载 调 市 服务 右 的 数目 或 
征 搭 建 一 个 高 可 用 的 架构 ， 用 户 需 要 在 一 天 内 多 次 司 动 新 服务 左 。 除 
此 之 外 ， 用 户 也 需要 更 狐 数量 不 断 增长 的 虚拟 服务 袁 。 部 署 应 用 所 需 
的 步 又 并 不 会 改变 ， 如 图 5-1 所 示 ， 用 户 只 和 需要 在 多 个 服务 右上 进行 操 
作 。 随 着 发 展 ， 手 动 部 署 软件 到 不 断 增 长 的 服务 如 将 变 得 不 大 现实 ， 
并 且 有 很 高 的 人 为 失败 的 风险 。 这 束 古 为 什么 我 们 推荐 使 应 用 部 轩 目 
动 化 的 原因 。 


可 执行 程序 


T — 库 和 运行 环境 


配置 


SSH/RDP 


OO 不 可 扩展 = 
图 5-1 在 灵活 的 规模 可 变 的 云 环境 中 部 署 必须 是 自动 化 的 

在 目 动 化 部 署 流程 中 的 投资 将 来 会 通过 提高 效率 以 及 减少 人 为 失 
败 得 到 回报 。 
5.2 ”使 用 CloudFormation 在 服务 器 启动 时 运行 
脚本 

在 服务 器 局 动 的 时 候 运 行 一 个 脚本 是 简单 、 有 用 并 且 灵 活 地 进行 
目 动 化 部 署 的 方法 。 要 把 仅 有 操作 系统 的 服务 器 完全 安装 并 且 配 置 
好 ， 需 要 遵循 下 列 3 个 步骤 。 

(1) 启动 一 台 仅 有 操作 系统 的 虚拟 服务 器 。 

(2) 在 引导 程序 完成 后 执行 一 个 脚本 。 

(3) 使 用 脚本 安装 并 配置 应 用 程序 。 


首先 用 户 需要 选择 目 己 的 虚拟 服务 只 所 使 用 的 AMI。AMI 为 用 户 
的 虚拟 服务 亏 捆 绑 了 操作 系统 以 及 预先 安装 好 的 软件 。 当 用 户 从 一 个 
仅 包含 了 操作 系统 ， 没 有 安 疤 任 何 额 外 软件 的 AMI 局 动 目 己 的 虚拟 服 
务 器 时 ， 需 要 在 引导 程序 结束 时 对 虚拟 服务 占 进 行 准备 工作 。 把 必要 
的 安 六 和 配置 应 用 程序 的 步 又 写成 脚本 能 目 动 化 这 一 任务 。 但 是 怎么 
在 虚拟 服务 器 引导 结束 后 目 动 执行 这 个 脚本 呢 ? 


一 天 内 多 次 自动 启动 虚拟 服务 器 
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在 每 一 台 虚 拟 服务 右上 用 户 可 以 插入 一 人 小段， 不 超过 16 KB, # 
称 作用 户 数据 的 数据 。 用 户 可 以 在 创建 一 台新 的 虚拟 服务 器 时 指定 用 
户 数据 。 大 多 数 AMI， 如 Amazon Linux Image 和 Ubuntu AMI 都 包含 了 
这 一 典型 的 运行 用 户 数据 的 功能 。 无 论 何 时 当 用 户 基 于 这 些 AMI 局 动 
一 人 台 虚 拟 服务 需 时 ， 用 户 数据 在 引导 进程 结束 时 被 作为 shell 脚 本 补 执 
行 。 执 行 的 时 候 利 用 root 用 户 的 权限 。 


在 虚拟 服务 右上， 用 户 数据 可 以 通过 向 一 个 特定 URL 进 行 HITTP 
Get 请 求 来 获得 。 这 个 URL 是 http://169.254.169.254/latest/user-data， 只 
能 从 这 人 台 虚 拟 服务 器 自己 访问 到 。 正 如 下 面 的 例子 中 读者 将 看 到 的 ， 
eee nar 数据 的 帮助 部 署 任何 类 型 的 应 用 
Y o 


5.2.2 ”在 虚拟 服务 器 上 部 署 OpenSwan 作 为 VPN 
服务 天 


如 果 在 咖啡 店内 使 用 笔记 本 电脑 通过 Wi-Fi 工 作 ， 你 可 能 希望 让 目 
己 的 网 络 流量 通过 VPN 隧 道 在 互联 网 上 传输 。 这 里 将 介绍 如 何 使 用 用 
户 数 据 与 shell 脚 本 在 一 台 虚 拟 服务 右上 部 署 一 台 VPN 服 务 絮 。 我 们 使 
用 的 VPN 解 决 方案 叫 作 OpenSwan， 它 提供 基于 IPSec 的 通道 ， 在 
Windows ` OS X 和 Linux 上 都 可 以 很 容易 地 使 用 。 图 5-2 展 示 了 安装 的 
示例 。 


不 安全 的 网 络 
(如 咖啡 店 ) 


VPN 


互联 网 


SS 


安装 了 OpenSwan 的 虚拟 服务 器 


图 5-2 ”在 虚拟 服务 器 上 使 用 OpenSwan 来 传送 个 人 计算 机 的 数据 流量 


a 然后 一 步 步 执 f Ua 1 中 的 命令 来 启动 一 台 虚 
拟 服务 并 且 在 上 面部 嗜 一 个 YPN 服 务 ° 我 们 已 经 准备 好 了 一 个 
CloudPorrnation 杭 板 来 启动 庶 拟 服务 器 以 及 它 的 依 前 硕 ， 


代码 清单 5-1 在 虚拟 服务 器 上 部 署 VPN 服 务 器 : CloudFormation 与 shell 脚 本 


A 


$ VpcId=$(aws ec2 describe-vpcs --query Vpcs[0].VpcId --output 
text) -- -获取 默认 VPC 


$ SubnetId=$(aws ec2 describe-subnets --filters Name=vpc- 
id, Values=$VpcId \ =- -获取 默认 子 网 
--query Subnets[0].SubnetId --output text) 


$ SharedSecret=$(openssl rand -base64 30) -- -创建 一 个 随机 密码 (如 
果 openss1 不 工作 ， 创 建 你 自己 的 随机 序列 ) 


$ Password=$(openssl rand -base64 30) -- -创建 一 个 随机 共享 密 钥 (如 
果 openssl 不 工作 ,创建 你 自己 的 随机 序列 ) 


$ aws cloudformation create-stack --stack-name vpn --template-url 
\ -- -创建 一 个 CloudFormation 堆栈 
https://s3.amazonaws.com/awsinaction/chapter5/vpn- 
cloudformation.json \ 

--parameters ParameterKey=KeyName, ParameterValue=mykey \ 
ParameterKey=VPC, ParameterValue=$VpcId \ 

ParameterKey=Subnet, ParameterValue=$SubnetId \ 
ParameterKey=IPSecSharedSecret, ParameterValue=$SharedSecret \ 
ParameterKey=VPNUser, ParameterValue=vpn \ 
ParameterKey=VPNPassword, ParameterValue=$Password 


$ aws cloudformation describe-stacks --stack-name vpn \ 
--query Stacks[0].Outputs —- -如 果 状 态 不 是 COMPLETE， 请 在 1 min 后 重 
试 


使 用 下 列 命 令 下 载 bash 脚 本 并 直接 在 本 地 机 器 执行 下 载 的 脚本 ， 可 以 避免 手工 厂 
行 中 录入 这 些 命令 。 该 bash 脚 本 包含 的 步骤 与 代码 清单 5-1 所 示 相同 : 


$ curl -s https://raw.githubusercontent.com/AwSinAction/\ 
code/master/chapter5/\ 
vpn-create-cloudformation-stack.sh | bash -ex 


最 后 一 行 命令 的 输出 应 该 会 列 出 公有 VPN 服 务 器 的 公有 了 P 地 址 、 
共享 密 钥 、VPN 用 户 名 和 和 VPN 密码 。 用 户 可 以 使 用 这 一 信息 来 从 自己 
的 计算 机 中 建 六 VPN 连 接 : 


"Description": "Public IP address of the vpn server", 
"OutputKey": "ServerIP", 
"OutputValue": "52.4.68.225" 


"Description": "The shared key for the VPN connection (IPSec)", 
"OutputKey": "IPSecSharedSecret", 
"OutputValue": "sqmvJ11/13bD6YqopmsKkPSMsS9RrPL8itpr7m5V8g" 


"Description": "The username for the vpn connection", 
"OutputKey": "VPNUser", 
"OutputValue": "vpn" 


"Description": "The password for the vpn connection", 
"OutputKey": "VPNPassword", 
"OutputValue": "aZQVFufFLUJJIkesUfDmMj6DcHrwjukKShyFB/d01E" 
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些 至 今 不 经 意 间 使 用 了 的 任务 。 


。 使 用 上 自 定义 用 户 数 据 启动 一 台 虚 拟 服 务 絮 ， 并 使 用 AWS 
CloudFormation 为 这 台 虚 拟 服务 器 配置 防火 墙 。 

。 在 引导 程序 结束 时 执行 一 个 shell 脚 本 ， 通 过 程序 包 管 理 器 来 安装 
应 用 程序 及 其 依赖 项 ， 并 且 编 辑 配置 文件 。 


1. 使 用 CloudFormation 来 启动 虚拟 服务 器 并 使 用 用 户 数据 


可 以 使 用 CloudFormation 来 启动 一 台 虚 拟 服务 器 并 且 配 置 一 个 防 
火 墙 。VPN 服 务 需 模板 包括 一 个 装 入 用 户 数据 的 shell 脚 本 ， 如 代码 清 


单 5-2 所 示 。 


Fn::JoinýHFn:: Base64 


这 个 CloudFormation 模 板 包含 两 个 新 函数 ， 即 Fn: :Join 和 Fn: :Base64 ° (EH 
Fn: :Join ， 能 使 用 一 个 分 隔 符 把 多 个 值 连接 成 一 个 值 : 


{"Fn::Join": ["delimiter", ["valuei", "value2", "value3"]]} 


函数 Fn : :Base64 把 输入 编码 成 Base64 格 式 。 用 户 会 需要 这 个 函数 ， 因 为 用 户 数 据 必 
须 被 编码 成 Base64: 


{"Fn::Base64": "value"} 


of 


代码 清单 5-2 CloudFormation 模 板 的 一 部 分 ， 使 用 用 户 数据 来 初始 化 一 台 虚 拟 服务 器 


{ 
"AWSTemplateFormatVersion": "2010-09-09", 
"Description": "Starts an virtual server (EC2) with OpenSwan 
[-..]", 
"Parameters": { 一- -人 参数， 使 模板 复 用 成 为 可 能 
"KeyName": { 
"Description": "key for SSH access", 
"Type": "AWS: :EC2::KeyPair: :KeyName" 
ty 
"YPC": { 
"Description": "Just select the one and only default VPC.", 
"Type": "AWS: :EC2::VPC::Id" 
ty 
"Subnet": { 
"Description": "Just select one of the available subnets.", 
"Type": "AWS: :EC2::Subnet::Id" 
ty 
"IPSecSharedSecret": { 
"Description": "The shared secret key for IPSec.", 
"Type": "String" 
ty 
"VPNUser": { 
"Description": "The VPN user.", 


"Type": "String" 
}, 


"VPNPassword": { 
"Description": "The VPN password.", 
"Type": "String" 


} 
ty 
"Resources": { —- -描述 虚拟 服务 器 
"EC2Instance": { 
"Type": "AWS::EC2::Instance", 
"Properties": { 
"InstanceType": "t2.micro", 
"SecurityGroupiIds": [{"Ref": "InstanceSecurityGroup"}], 
"KeyName": {"Ref": "KeyName"}, 
"ImageId": "ami-1ecae776", 
"SubnetId": {"Ref": "Subnet"}, 
"UserData": =- -为 虚拟 服务 器 定义 一 个 she11 脚本 作为 用 户 数据 
{"Fn::Base64": {"Fn::Join": ["", [ 一- -连接 并 对 字符 串 进 行 
编码 


"#!/bin/bash -ex\n", 

"export IPSEC_PSK=", {"Ref": "IPSecSharedSecret"}, "\n", 

"export VPN_USER=", {"Ref": "VPNUser"}, "\n", o-- SH 
参数 至 环境 变量 使 它们 能 被 接 下 来 调用 的 外 部 she11 脚 本 使 用 

"export VPN_PASSWORD=", {"Ref": "VPNPassword"}, "\n", 

"export STACK_NAME=", {"Ref": "AWS::StackName"}, "\n", 

"export REGION=", {"Ref": "AWS::Region"}, "\n", 


"curl -s https://../vpn-setup.sh | bash -ex\n" =- - 
http 获取 shell 脚本 并 执行 
]]}} 
pii] 

ty 

Essa] 
ty 
"Outputs": { 
} 


} 


基本 上 ， 用 户 数据 包 侣 一 个 用 来 获取 并 执行 真正 的 脚本 的 小 脚本 


vpn-setup.sh， 真 正 的 脚本 包含 所 有 的 安装 可 执行 程序 以 及 配置 服务 的 
命令 。 这 样 做 可 以 避免 以 可 读 性 较 差 的 格式 插入 JSON CloudFormation 
模板 所 需 的 脚本 © 


2. 使 用 脚本 安装 并 配置 一 个 VPN 服 务 器 


SiS 5-3 PARAS vpn-setup.shbill AS if wo ET O E et yum Lz 
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言 轧 ， 只 需要 了 解 这 个 shell 脚 本 在 引导 过 程 中 被 执行 ， 它 会 安装 并 配 
置 一 台 VPN 服 务 器 。 


代码 清单 5-3 ”在 服务 器 启动 时 安装 程序 包 并 写 配置 文件 


#!/bin/bash -ex 


fot al 


PRIVATE_IP=‘url -s http://169.254.169.254/latest/meta-data/local- 
ipv4‘ -- - TRAUB ae AL AIP 地 址 


PUBLIC_IP=‘curl -s http://169.254.169.254/latest/meta-data/public- 
ipv4’ -- -获取 虚拟 服务 器 公有 IP 地 址 


yum-config-manager --enable epel && yum clean all -- -向 包 管 理 器 


yum 添 加 额外 程序 包 


yum install -y openswan xl2tpd —- -安装 软件 程序 包 


cat > /etc/ipsec.conf <<EOF -- -为 IPSec 写 一 个 包含 共享 密 钥 的 文 伯 


Fetal 
EO 


cat > /etc/ipsec.secrets <<EOF ---HIPSec (OpenSwan) 写 配置 文件 
$PUBLIC_IP %any : PSK "${IPSEC_PSK}" 
EOF 


cat > /etc/xl2tpd/xl2tpd.conf <<EOF ---HWL2TP Hi SHH 


axel 
EO 


cat > /etc/ppp/options.xl2tpd <<EOF - -为 PPP 服务 写 配 置 文 伯 


[ss 
EO 


service ipsec start && service xl2tpd start <--JABIVPN ARB aS 


要 的 服务 


chkconfig ipsec on && chkconfig xl2tpd on 配置 VPN 服务 器 的 运行 
等级 


我 们 已 经 学 习 了 如 何 使 用 EC2 用 户 数据 与 一 个 shell 脚 本 在 一 人 台 虚 
拟 服务 器 上 部 署 一 个 VPN 服 务 器 。 在 终止 虚拟 服务 器 之 后 ， 我 们 将 准 
备 学 习 如 何 部 署 一 个 普通 网 站 应 用 ， 而 不 需要 自 定义 脚本 。 


A y HAH 


我 们 已 经 完成 了 TVPN 服 务 器 的 示例 ， 别 忘 了 终止 虚拟 服务 器 并 且 清理 环境 。 需 要 


ze: 在 终端 输入 aws cloudformation delete-stack --stack-name vpn ° 


5.2.3 ”从 零 开 始 ， 而 不 是 更 新 已 有 的 服务 器 


在 本 市 中 ， 我 们 学 习 了 如 何 使 用 用 户 数 据 来 部 署 一 个 应 用 。 用 户 


eee | 导 过 程 结束 时 被 执行 。 但 怎么 用 这 个 方法 来 更 新 应 
WE? 

我 们 实现 了 在 自己 的 虚拟 服务 器 引导 流程 时 自动 化 安装 与 配置 软 
件 ， 所 以 可 以 启动 一 个 新 的 虚拟 服务 器 而 不 需要 增加 额外 的 工作 。 如 
果 必 须 更 新 目 己 的 应 用 或 它 的 依赖 项 ， 可 以 按 以 下 步 又 来 做 。 


(1) 确保 应 用 或 软件 的 最 新 的 版 本 可 以 通过 操作 系统 的 程序 包 库 
获得 ， 或 者 编辑 用 户 数 据 脚本 。 


(2) 基于 CloudFormation 模 板 及 用 户 数 据 脚 本 局 动 一 台新 的 虚拟 
服务 器 。 


(3) 测试 部 署 到 新 的 虚拟 服务 器 上 的 应 用 。 如 果 一 切 正常 ， 则 继 
续 操 作 下 一 步 。 


(4) 切换 负载 到 新 的 虚拟 服务 器 (如 通过 更 新 DNS 记 录 ) 。 
(5) 终止 昌 的 虚拟 服务 器 ， 且 扔 掉 它 不 用 的 依赖 项 。 


7 4# FA Elastic Beanstalk 部 署 一 个 简单 的 网 站 
` 用 
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一 项 服务 可 以 帮助 用 户 部 署 基 于 PHP、Java、.NET、Ruby、Node.js、 


Python、Go 和 Docker 的 网 站 应 用 ， 它 被 称 作 AWS Elastic Beanstalk ° {i 
用 Elastic Beanstalk， 用 户 束 不 必 操 心目 己 的 操作 系统 或 虚拟 服务 器 ， 
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Elastic Beanstalk 帮 助 用 户 处 理 下 面 反复 发 生 的 任务 。 


。 为 网 站 应 用 (PHP、Java 等 ) 提供 一 个 运行 环境 。 
。 目 动 安装 并 更 新 网 站 应 用 。 

。 配置 网 站 应 用 及 其 环境 。 

。 调整 网 站 应 用 规模 来 负载 均衡 。 

。 监控 和 调试 网 站 应 用 。 


5.3.1 Elastic Beanstalk 的 组 成 部 分 


了 解 Elastic Beanstalk 的 不 同 组 成 部 分 有 助 于 了 解 它 的 功能 。 图 5-3 
展示 了 这 些 元 素 。 


。 应 用 是 一 个 逻辑 上 的 容 絮 。 它 包含 了 版 本 、 环 境 和 配置 。 如 果 用 
户 在 一 个 区 域 开 始 使 用 Elastic Beanstalk， 首 先 需要 创建 一 个 应 


用 。 

。 版 本 包含 用 户 的 应 用 的 指定 版 本 。 要 创建 一 个 新 版 本 ， 用 户 必 须 
上 传 自己 的 可 执行 文件 (打包 成 一 个 压缩 文档 ， 到 用 来 存储 静态 
oo S3 服 务 。 版 本 是 一 个 指 癌 这 个 可 执行 文件 的 压缩 

y 日 o 

。 配置 模板 包含 默认 配置 。 用 户 可 以 通过 目 定 义 的 配置 模板 管理 目 
己 的 应 用 的 配置 《如 应 用 监听 的 端口 ) 以 及 环境 配置 (如 虚拟 服 
务 器 的 大 小 ) 

。 环境 Elastic Beanstalk 执 行 应 用 的 地 方 。 它 由 版 本 和 配置 构成 。 
用 户 可 以 通过 多 次 使 用 版 本 和 配置 为 一 个 应 用 运行 多 个 环境 。 


日 前 理论 已 经 足够 。 让 我 们 继续 来 部 署 一 个 简单 的 网 站 应 用 。 


逻辑 容器 应 用 的 指定 版 本 你 的 应 用 的 运行 环境 配置 应 用 与 环境 


环境 : 
版 本 0.3, 配置 A 


环境 : 
版 本 0.3, 配置 B 


环境 : 
版 本 0.2, 配置 B 


图 5-3 Elastic Beanstalk 应 用 包含 了 版 本 、 配 置 和 环境 


5.3.2 ”使 用 Elastic Beanstalk 部 署 一 个 Node.js 应 
用 Etherpad 


使 用 错误 的 工具 来 协作 编辑 文档 可 能 很 痛 否 。Etherpad 是 一 个 开 
源 的 在 线 编辑 器 ， 它 让 许多 人 可 以 同时 编辑 一 份 文档 。 我 们 将 通过 以 
下 3 个 步骤 在 Elastic Beanstalk 的 帮助 下 部 署 这 个 基于 Node.js 的 应 用 。 
(1) 创建 应 用 : 逻辑 上 的 容器 。 
(2) 创建 版 本 指向 特定 Etherpad 版 本 的 指针 。 


(3) 创建 环境 Etherpad 运 行 的 地 方 。 


1. 为 AWS Elastic Beanstalk 创 建 应 用 


打开 命令 行 并 且 执 行 下 面 的 命令 来 为 Elastic Beanstalk 服 务 创 建 一 
个 应 用 : 


$ aws elasticbeanstalk create-application --application-name 


etherpad 


在 AWS Elastic Beanstalk 的 帮助 下 ， 我 们 已 经 为 所 有 其 他 部 署 
Etherpad 所 必需 的 组 件 创建 了 一 个 容器 。 


2. 为 AWS Elastic Beanstalk 创 建 版 本 


我 们 可 以 使 用 下 面 的 命令 创建 目 己 的 Etherpad 应 用 的 新 版 本 : 


$ aws elasticbeanstalk create-application-version \ 
--application-name etherpad --version-label 1.5.2 \ 


--source-bundle S3Bucket=awsinaction, S3Key=chapter5/etherpad.zip 


针对 这 个 示例 ， 我 们 上 传 了 一 个 包含 了 Etherpad 版 本 1.5.2 的 zip 压 
缩 文档 。 如 果 读 者 想 部 署 男 一 个 应 用 ， 可 以 上 传 自己 的 应 用 的 静态 文 
件 至 AWS S3 服 务 。 


3. 用 Elastic Beanstalk 创 建 一 个 环境 来 执行 Etherpad 


要 使 用 Elastic Beanstalk 部 署 Etherpad， 需 要 基于 Amazon Linux % 
Etherpad 的 版 本 为 Node.js 创 建 一 个 环境 。 要 获取 最 新 的 Node.js 环 境 版 
本 ， 列 出 包含 它 的 解决 方案 堆栈 名 (solution stack name) ， 运 行 下 面 


$ aws elasticbeanstalk list-available-solution-stacks --output 
text \ 
--query "SolutionStacks[?contains(@, 'running Node.js')] | [0]"\ 


64bit Amazon Linux 2015.03 v1.4.6 running Node.js 


选项 EnvironmentType = SingleInstance 自动 启动 一 个 不 
可 变 规模 且 无 负载 均衡 的 单 台 虚拟 服务 器 。 使 用 从 前 一 个 命令 得 到 的 
输出 替换 $SolutionStackName : 


$ aws elasticbeanstalk create-environment --environment-name 
etherpad \ 


--application-name etherpad \ 

--option-settings Namespace=aws:elasticbeanstalk:environment, \ 
OptionName=EnvironmentType, Value=SingleInstance \ 
--solution-stack-name "$SolutionStackName" \ 

--version-label 1.5.2 


4. 玩 转 Etherpad 


我 们 已 经 为 Etherpad 创 建 了 一 个 环境 。 在 将 浏览 辟 指 回 我 们 的 
oe 装 前 ， 需 要 花费 几 分 钟 用 下 面 的 命令 来 跟踪 Etherpad 环 境 的 
状态 : 


$ aws elasticbeanstalk describe-environments --environment-names 


etherpad 


如 果 Status 变 为 Ready， 并 且 Health 变 成 Green， 说 明 已 经 准备 好 
了 ， 可 以 创建 我 们 的 第 一 个 Etherpad 文 要 了。 命令 describe 的 输出 
应 该 与 代码 清单 5-4 所 示 的 例子 类 似 。 


代码 清单 5-4 描述 Elastic Beanstalk 的 状态 


{ 
"Environments": [{ 
"ApplicationName": "etherpad", 
"EnvironmentName": "etherpad", 
"VersionLabel": "1", 
"Status": "Ready", 一 - -等 待 Status 变 为 Ready 
"EnvironmentiId": "e-pwbfmgrsjp", 
"EndpointuURL": "23.23.223.115", 
"SolutionStackName": "64bit Amazon Linux 2015.03 v1.4.6 running 
Node.js", 
"CNAME": "etherpad-cxzshvfjzu.elasticbeanstalk.com", 一 - -If 
境 的 DNS 记录 (例如 ， 要 从 浏览 器 打开 ) 
"Health": "Green", -- -等 待 Health 变 为 Ready 
"Tier": { 
"Varsion" : " w 
"Type": "Standard", 
"Name": "WebServer" 


ty 


"DateUpdated": "2015-04-07T08:45:07.658Z", 
"DateCreated": "2015-04-07T08:40:21.698Z" 


}] 
} 


我 们 已 经 利用 3 个 命令 在 AWS 上 部 署 了 一 个 Node.js 网 站 应 用 。 现 
在 把 浏览 器 指向 CNAME 中 的 URL， 并 输入 一 个 新 文档 名 ， 点 击 OK 按 


钮 来 打开 一 个 新 文档 。 图 5-4 展 示 了 正在 使 用 的 Etherpad 文 档 。 


ece 
BIUS E#EZES DOC oo = OW) o o| Me 
Hello World! 


AWS Elastic Beanstalk helps you to deploy your web application. 


图 5-4 ”使 用 中 的 在 线 文本 编辑 器 Etherpad 


5. 使 用 管理 控制 台 探 索 Elastic Beanstalk 


我 们 已 经 使 用 Elastic Beanstalk 和 AWS CLI 创 建 了 应 用 、 版 本 和 环 
境 ， 部 署 了 Etherpad。 用 户 也 可 以 通过 管理 控制 台 (一 个 基于 网 页 的 
用 户 界面 ) 来 控制 Elastic Beanstalk 服 务 。 
(1) 打开 AWS 管 理 控 制 台 。 
(2) 在 导航 栏 中 点 击 “ 服 务 ”， 然 后 点 击 Elastic Beanstalk 服 务 。 


(3) 点 击 Etherpad 环 境 ， 以 一 个 绿色 框 表示 。 将 显示 Etherpad 应 
用 的 概况 ， 如 图 5-5 所 示 。 


我 们 也 可 以 通过 Elastic Beanstalk 从 自己 的 应 用 中 获取 日 志 信 息 。 
使 用 下 面 的 步 又 下 载 最 新 的 日 志 信 息 。 


- (1) 在 子 荣 单 中 选择 “日 志 ”， 我 们 会 看 见 一 个 图 5-6 所 示 的 界 


(2) 上 点击“ 请求 日 志 ”， 然 后 选择 最 后 100 行 。 


(3) 几 秒 钟 后 ， 表 中 将 显示 一 个 新 的 入 口 。 点 击 “ 下 载 ” 将 日 志 
件 下 载 到 我 们 的 计算 机 上 。 


指向 Etherpad 应 用 的 URL ”所 运行 在 环境 中 的 Etherpad 版 本 


所 有 应 用 程序 > etherpad > etherpad (hip: e334x5pdwms, URL: etherpad.mogwmdniza.ap-nortfieast-1.elasticbeanstalk.com) 操作 ~ 
| 控制 面板 概述 © Bit 
RE 
日 志 运行 状况 运行 版 本 
正常 绿色 1.5.2 ne d e 
监控 原因 上 传 和 部 署 
配置 
wR 
64bit Amazon Linux 2017.03 
托管 更 新 v4.1.0 running Node.js 
事件 aE 
标签 
显示 全 部 
时 间 类 型 详细 信息 
2017-05-30 18:25:53 UTC+0800 INFO Environment health has been set to GREEN 
2017-05-30 18:25:38 UTC+0800 INFO ‘Successfully launched environment: etherpad 
|https://ap-northeast-/1 .console.aws.amazon.com/console/home?region=ap-northeast-1 INFO Adding instance 'i-01c8ef889f22e37b7' to your environment. 
| I 
你 的 Etherpad 应 用 的 健康 状态 Elastic Beanstalk 服务 触发 的 事件 环境 配置 信息 
74> . H A 
图 5-5 “运行 Etherpad 的 AWS Elastic Beanstalk 环 境 总 览 


加 从 子 菜单 中 选择 “日 志 ” 合 选 择 最 后 100 行 


ff Elastic Beanstalk = etherpad ~ 创建 新 环境 


所 有 应 用 程序 etherpad > etherpad (环境 ID: e-334x5pdwms, URL: etherpad.mpgwmdniza.ap-northeast-1.elasticbeanetalk.com ) 操作 ~ 


控制 面板 日 志 请 求 日 志 ~ SRR 
配置 、 
单 击 "请 求 日 志 " 可 检索 每 个 EC2 实例 的 最 近 100 行 日 志 或 整个 日 志 集 。 了 解 更 多 
日 志 
日 志文 件 时 间 EC2 实例 类 型 
正常 
he 2017-05-30 18:35:42 " a 
监控 下 载 UTC40800 i-01c8ef889f22e37b7 完整 日 志 
警报 
托管 更 新 @ 下 载 最 新 的 日 志 信 息 
事件 


图 5-6 ”通过 AWS Elastic Beanstalk 从 Node.js 应 用 中 下 载 日 志 信 息 


现在 你 已 经 成 功 地 在 AWS Elastic Beanstalk 的 帮助 下 部 署 了 Etherpad， 并 且 学 习 了 这 个 
服务 的 不 同 组件 ， 现 在 是 时 候 清理 了 。 运 行 下 面 的 命令 来 终止 Etherpad 环 境 : 


$ aws elasticbeanstalk terminate-environment --environment-name etherpad 


可 以 使 用 下 面 的 命令 检查 环境 的 状态 : 


$ aws elasticbeanstalk describe-environments --environment-names etherpad 


直 等 到 状态 变 为 Terminated， 然 后 继续 执行 下 面 的 命令 


$ aws elasticbeanstalk delete-application --application-name etherpad 


就 是 这 样 。 我 们 已 经 终止 了 提供 环境 给 Etherpad 的 虚拟 服务 器 ， 并 且 删 除了 Elastic 
Beanstalk 中 的 所 有 相关 组 件 。 


5.4 ”使 用 OpsWworks 部 署 多 层 架 构 应 用 


{E H Elastic Beanstalk 部 署 一 个 基本 网 站 应 用 很 方便 。 但 是 ， 如 果 
用 户 需 要 部 署 一 个 更 复杂 的 包含 不 同 服务 的 应 用 〈 也 称 多 层 应 用 ) 
将 会 受到 Elastic Beanstalk 的 限制 。 在 本 下 中 ， 我 们 将 学 习 AWS 
一 个 有 AWS 提 供 的 免费 的 可 以 帮助 用 户 部 署 多 层 架 构 应 用 
服务 。 


OpsWorks 帮 助 用 户 控制 AWS 资 源 如 虚拟 服务 器 、 负 载 均衡 希 和 数 
ee 并 且 让 用 户 可 以 部 署 应 用 。 这 一 服务 提供 在 下 面 环 境 中 的 标准 


。 HAProxy (负载 均衡 器 ) ; 

PHP (应 用 服务 器 ) ; 

MySQL (ZEE) 

e Rails app server (Ruby on Rails) ; 


Java app server (Tomcat 服 务 器 ) ; 
Memcached (WERT) ; 

ita Webs ae 

AWS Flow (Ruby) ; 

Ganglia (监控 ) ° 


用 户 也 可 以 添加 一 个 目 定义 层 来 部 署 想 要 的 任何 内 容 。 部 署 是 在 
Chef 的 帮助 下 进行 控制 的 ，Chef 是 一 个 配置 管理 工具 。Chef 使 用 在 
ee eee ee 用 户 可 以 使 用 标准 
recipe 或 目 行 创建 


Chef 是 一 个 类 似 于 Puppet、SaltStack 和 Ansible 的 配置 管理 工具 。Chef 将 用 领域 特定 语 

言 (domain-specific language, DSL) 写 的 模板 (recipe) 转换 成 动作 ， 来 配置 及 部 署 应 
。recipe 可 以 包含 用 于 安装 的 程序 包 、 可 运行 的 服务 或 者 可 写 的 配置 文件 。 相 关 的 recipe 

ee 集中 管理 。Chef 分 析 现 状 并 在 必要 时 更 改 资 源 ， 以 达到 recipe 中 描述 


读者 可 以 在 Chef 的 帮助 下 复 用 他 人 的 cookbook 和 recipe。 社 区 中 发 布 了 各 种 开源 代码 许 
可 下 的 cookbook 和 recipe ° 


Chef 可 以 单独 运行 或 使 用 客户 端 /服务 器 模式 。 在 客户 端 /服务 器 模式 下 ， 它 作为 一 个 
| 集群 管理 工具 ， 可 以 帮助 用 户 管理 一 个 由 很 多 虚拟 服务 器 构成 的 分 布 式 系统 。 在 单机 模式 
F, APA 以 在 单个 虚拟 服务 器 上 执行 recipe 。 AWS OpsWorks 使 用 单机 运行 模式 时 ， 集 成 
了 自己 的 集群 管理 组 件 ， 不 需要 用 户 在 客户 端 /服务 器 模式 中 的 烦琐 配置 与 安装 。 


ae 


ee 


除了 帮助 用 户 部 署 应 用 ， OpsWoris 还 有 助 于 用 户 更 好 地 扩展 i 
控 和 更 新 运行 在 不 同 逻辑 层 下 的 虚拟 服务 


5.4.1 OpsWorks 的 组 成 部 分 


_ 了解 OpsWorks 的 不 同 组 件 有 助 于 了 解 它 的 功能 ， 图 5-7 展 示 了 这 此 
JLA °? 


。 堆栈 是 一 个 所 有 其 他 OpsWorks 组 件 的 容器 。 用 户 能 够 创建 一 个 或 
多 个 堆栈 ， 并 且 为 每 个 堆栈 添加 一 个 或 多 个 层 ， 可 以 使 用 不 同 的 
堆栈 来 区 分 (如 产品 环境 与 测试 环境 ， 也 可 以 使 用 不 同 的 堆栈 
来 区 分 不 同 的 应 用 。 


层 属于 堆栈 。 一 个 层 代 表 一 个 应 用 ， 也 可 以 称 为 服务 。OpsWorks 
为 标准 的 网 站 应 用 ， 如 PHP 和 Java， 提 供 预 定义 好 的 层 ， 但 是 用 
户 可 以 为 任何 目 己 能 想到 的 应 用 目 由 运用 目 定 义 堆 栈 。 一 个 层 负 
责 配 置 预 发 布 软件 到 虚拟 服务 器 上 。 用 户 可 以 癌 一 个 层 添加 一 台 
或 多 台 虚 拟 服务 器 。 在 这 里 虚拟 服务 器 被 称 作 实例 。 

实例 代表 了 虚拟 服务 器 。 用 户 可 以 在 每 一 层 启动 一 个 或 多 个 实 
例 。 用 户 可 以 使 用 不 同 版 本 的 Amazon Linux 和 Ubuntu， 或 一 个 自 
定义 的 AMI 作 为 实例 的 基础 ， 然 后 为 规模 伸缩 定义 基于 负载 或 时 
间 的 规则 来 启动 与 终止 实例 。 

应 用 程序 是 你 要 部 署 的 软件 。OpsWorks 目 动 将 用 户 的 应 用 程序 首 
署 到 一 个 合适 的 层 。 用 户 可 以 从 Git 或 Subversion 库 ， 或 通过 HTTP 
作为 压缩 存档 获取 应 用 程序 。OpsWorks 帮 助 用 户 将 目 己 的 应 用 程 
序 安装 和 更 新 到 一 个 或 多 个 实例 上 。 


让 我 们 来 看 看 起 样 在 OpsWorks 的 帮助 下 部 署 一 个 多 层 染 构 的 应 


Web 服 务 器 层 : 
PHP Web 应 用 


API 服务 器 层 : 
带 REST API 的 


数据 库 层 : 
MySQL 数据 库 


虚拟 服务 器 需要 部 署 的 软件 


图 5-7 堆栈 、 层 、 实 例 和 应 用 程序 是 OpsWorks 的 主要 组 件 


5.4.2 ”使 用 OpsWorks 部 署 一 个 IRC 聊 天 应 用 


IRC (Internet Relay Chat) 依然 是 流行 的 通信 手段 。 在 本 节 中 ， 我 
们 将 部 署 一 个 基于 网 站 的 IRC 客 户 端 kiwiIRC 和 我 们 自己 的 IRC 服 务 
器 。 图 5-8 展 示 了 如 何 搭建 一 个 分 布 式 系统 ， 包 含 了 一 个 网 站 应 用 并 提 
供 IRC 客 户 问 和 IRC 服 务 器 。 


IRC 
加 加 


虚拟 服务 器 虚拟 服务 器 


kiwiIRC 应 用 IRC 服 务 器 


图 5-8 搭建 由 一 个 网 站 应 用 与 一 台 IRC 服 务 器 构成 的 IRC 架 构 


kiwiIRC 是 用 JavaScript 为 Node.js 编 写 的 一 个 开源 网 站 应 用 。 下 面 
是 在 OpsWorks 的 帮助 下 部 署 一 个 两 层 染 构 应 用 所 必需 的 步 又 。 


(1) 创建 一 个 堆栈 ， 所 有 其 他 组 件 的 容器 。 
(2) 为 kiwiIRC 创 建 一 个 Node.js 层 。 
(3) 为 IRC 服 务 器 创建 一 个 自 定义 层 。 
(4) 创建 一 个 应 用 程序 ， 将 kiwiIRC 部 署 到 Node.js 层 。 
(5) 为 每 一 层 添加 一 个 实例 。 
接 下 来 我 们 将 学 习 如 何在 管理 控制 台 上 完成 这 些 步 又 。 我 们 也 可 


以 通过 命令 行 控制 OpsWorks， 职 像 使 用 Elastic Beanstalk 或 
CloudFormation 时 所 做 的 那样 。 


1. 创建 一 个 新 的 OpsWorks 堆 栈 


打开 管理 控制 人 台 ， 然 后 创建 一 个 新 的 堆栈 。 图 5-9 展 示 了 必要 的 步 


又 


选择 默认 VPC， 这 个 列表 中 的 唯一 选项 IRC 服务 器 程序 包 ， 默 认 在 Ubuntu 服务 器 上 可 用 


| 
Create a stack with instances that run Linux and Chef 110 


Classic experience. Use our built-in cookbooks for layers, applications & deployments to get started. Use your own Chef cookbooks to 
override or extend the built-in layers. Lea more. 


Stack name irc 

Region US East (N. Virginia) 

VPC vpc-57863632 (default) 

Default subnet 172.31.16.0/20 - us-east-1a 

Default operating system Ubuntu 14.04 LTS + Need a different OS? Let us know. 
Default SSH key mykey 

Chef version 11.10 

Use custom Chef cookbooks No DefineNhe source of your Chef cookbooks 
Stack color EERE EES 


Advanced options 


Default root device type © EBS backed 通过 SSH 连 接 调 试 你 的 服务 器 需要 一 个 SSH 密 铀 
Instance store 

IAM role aws-opsworks-service-role 

Default IAM instance profile aws-opsworks-ec2-role 

API endpoint region [CEI us-east-1 使 用 层 名 字 为 你 的 应 用 服务 器 命名 ， 


Hostname theme Layer Dependent 如 Node.js 应 用 程序 


OpsWorks Aaent version 3444 (Apr 1st 2017) $ fa o e 


图 5-9 ”在 OpsWorks 上 创建 一 个 新 的 堆栈 


) iSelect Stack 下 的 Add Stack 或 Add Your First Stack ° 
(2) 在 Name 中 输入 irc ° 
) 在 Region 中 选择 US East (N. Virginia) ° 
(4) 默认 VPC 是 唯一 可 用 的 ， 选 中 它 。 
(5) Default Subnet， 选 择 us-east-la ° 
(6) Default Operating System， 选 择 Ubuntu 14.04 LTS ° 
(7) Default Root Device Type， 选 择 EBS Backed ° 


(8) IAM Role, iNew IAM Role。 这 样 做 会 自动 创建 所 需 的 
依赖 。 


(9) 选择 用 户 的 SSH 密 钥 mykey， 作 为 Default SSH Key ° 


(10) A i Rie ° ° Default IAM Instance Profile, 312¢#%New 
IAM Instance Profile。 这 样 做 会 目 动 创建 所 需 的 依赖 。 


(11) Hostname Theme, wtf#Layer Dependent。 虚 拟 服 务 器 会 依 
据 它们 所 在 的 层 来 命名 。 


(12) 点 击 Add Stack 来 创建 堆栈 。 


用 户 被 重 定 回 到 目 己 的 irc 堆 栈 的 概述 。 每 件 事情 都 准备 好 了 ， 束 
可 以 创建 第 一 个 层 了 。 


2. 为 OpsWorks 堆 栈 创 建 一 个 Node.js 层 


kiwiIRC 是 一 个 Node.js 应 用 ， 因 而 我 们 需要 为 irc 堆 栈 创建 一 个 
Node.js 层 。 按 照 以 下 步骤 来 操作 。 


(1) 从 子 沫 单 中 选择 Layers。 

(2) 点 击 Add Layer 按 钮 。 

(3) 对 Layer Type 选择 Node.js App Server， 如 图 5-10 所 示 。 
(4) 选择 Node.js 最 新 版 本 0.12.x ° 


(5) 点 击 Add layer ° 


ao Lan Eas = 
E Stack Add layer @kiwilRC 在 Node.js 上 运行 的 运行 时 环境 
= Layers 
š Instances BW opsworks IEscs @ ros 

ime-bi d 

ad Layer type 

_ The Nodejs Application Server layer is a blueprint for instances that function as JavaScript application 

ps 

= servers, Learn more. 
Deny Node.js version 0.12.18 4 
da Monitorni ng Elastic Load Balancer fo ELBs have been created in your vpc-57863632 in us-east-1. To add an ELB go to the EC2 console 
@ Resources 

wig 3 
& Permissions 四 选择 Node.js 最 新 版 本 0.12.x 
Need further support? Let us know. 
Sta 
owes CIES 

Users 


图 5-10 ”为 kiwiIRC 创 建 一 个 Node.js 层 


这 里 已 经 创建 了 一 个 Node.js 层 ° 要 重复 这 些 步骤 来 添 
加 另 一 个 层 ， 并 部 署 自 己 的 IRC 服 务 


3. 为 OpsWorks 堆 栈 创建 一 个 目 定义 层 


一 个 IRC 服 务 器 不 是 一 个 典型 的 网 站 应 用 ， 因 此 不 可 能 使 用 默认 

层 类 型 。 我 们 将 用 一 个 目 定 义 层 来 部 署 IRC 服 务 器 。Ubuntu 程 序 包 库 
包含 了 各 种 IRC 服 务 器 实现 ， 这 里 将 使 用 ircd-ircu 程序 包 。 按 照 下 
列 步 又 为 IRC 服 务 融 创建 一 个 目 定 义 堆栈 。 

(1) 从 子 沫 单 中 选择 Layers。 

(2) 点 击 Add Layer ° 

(3) 对 Layer Type 选择 Custom， 如 图 5-11 所 示 。 

(4) 对 Name 和 Short Name 中 输入 irc-server ° 


(5) 点 击 Add Layer ° 


E irc~ Dashboard Users 
E Stack Add Layer @ 对 Layer Type 选择 Custom 
=æ Layers 
a @ opswors @ ros 
#2 Instances 
Time-based Layer type Custom -| Looking for a different Layer type? Let us know 
Load-based The Custom layer allows you to create a fully customized layer. Standard recipes handie basic setup and 
- Apps configuration for the layer instances, and you implement custom Chef recipes to install and configure 
any required software. You can create as many custom layers as you require. Learn More. 
# Deployments n 
Ni server 
aà Monitoring m> 
© Resources Short name Wre-server Ent pic name that identifies the layer in Chef recipes, JSON 
seri ot s, and logs 
@ Permissions 
coe CEES 


\@ 插 入 一 个 名 称 ， 以 及 一 个 短 名 称 


图 5-11 ”创建 一 个 自 定 义 层 来 部 署 IRC 服 务 器 
这 里 已 经 创建 了 一 个 目 定义 层 。 


IRC 服 务 器 需要 通过 端口 6667 访 问 。 要 人 允许 访问 这 一 端口 ， 需 
定义 一 个 自 定 义 防 火 墙 。 执 行 代码 清单 5-5 中 的 命令 来 为 自己 的 IRC 服 


务 器 创建 一 个 目 定 义 防火 墙 。 


代码 清单 5-5 使 用 CloudFormation 创 建 一 个 自 定义 防火 墙 


$ aws ec2 describe-vpcs --query Vpcs[0].VpcId --output text 
-获取 默认 VPC， 记 作 $VpcId 


$ aws cloudformation create-stack --stack-name irc \ -- -创建 一 
个 CloudFormation 堆 栈 

--template-url https://s3.amazonaws.com/awsinaction/\ 
chapter5/irc-cloudformation.json \ 

--parameters ParameterKey=VPC, ParameterValue=$VpcId 


$ aws cloudformation describe-stacks --stack-name irc \ 


--query Stacks[0].StackStatus -- -如 果 状 态 不 是 COMPLETE，16 s 后 再 
执行 一 遍 这 条 命令 


了 的 命令 行 下 载 一 个 bash 脚 本 并 直接 在 本 地 机 器 上 执行 ， 这 样 


EH 
中 手动 输 这 些 命令 。 这 个 bash 脚 本 包含 了 代码 清单 5-5 所 示 的 相同 步 又; 


$ curl -s https://raw.githubusercontent.com/AwSinAction/\ 
code/master/chapter5/irc-create-cloudformation-stack.sh \ 
| bash -ex 


接 下 来 要 将 这 个 目 定 义 防火 墙 配置 关联 到 目 定 义 OpsWorks 层 。 按 
照 下 面 的 步骤 操作 。 


(1) 从 子 沫 单 中 选择 Layers。 
(2) 点 击 并 打开 irc-server layer ° 
(3) 切换 至 Security 标 签 并 点 击 Edit 。 


(4) 在 Custom Security Groups 中 选择 开头 为 irc 的 安全 组 ， 如 图 5- 
12 所 示 ° 


(5) 点击 Save ° 


E irc Dashboard Users 
@ 切 换 至 Security 标 签 
E Stack Layer irc-server \ 
= Layers 
eT General Settings Recipes Network EBS Volumes 
#2 Instances 
Be Security Groups i 
Load-based 
= Apps Default groups AWS-OpsWorks-Custom-Server 
a Dep! ents Custom security groups ‘Select a security group -| Select a security group to associate with this layer. Learn more. 
w x 
sa Monitoring 
© Resources 
EC2 Instance Profile i 全 保存 你 的 修改 
@ Permissions 
EC2 Instance profile Use defauit stack profite (aws-opswor -| 
Cancel | save | 


7 
四 添 加 开头 为 “irc” 的 安全 组 至 自 定义 安全 组 


图 5-12 ”向 IRC 服 务 器 层 添加 一 个 自 定 义 防火 墙 


配置 


我 们 需 要 为 IRC 服 务 器 配置 的 最 后 一 件 事 是 : 用 层 recipes 部 署 IRC 
服务 器 。 按 照 下 面 的 步 又 操作 。 


(1) 从 子 羔 单 中 选择 Layers。 
(2) 点 击 并 打开 irc-server layer ° 
(3) 切换 至 Recipes 标 签 并 点 击 Edit ° 


(4) 在 OS Packages 中 添加 程序 包 ircd-ircu， 如 图 5-13 所 示 。 


(5) 点 击 + 按 钮 ， 然 后 点 击 Save 按 钮 。 


Custom Chef Recipes i 
If you want to use Custom Chef recipes you need to configure cookbooks first. 


OS Packages i 


Package name Enter name + 


Fa ircd-ircu 其 tS 
了 


1 \ 
@ 输 入 “ircd-ircu” Ont + 按钮 


图 5-13” 辣 自 定义 层 添加 一 个 IRC 程 序 包 


Bo] BAH ESF ECE T — e AE SUR RAB BIRCHRH ae © 
See ee aan ey a eae 
F o 


4. 向 Node.js 层 添加 一 个 应 用 程序 


OpsWorks 可 以 向 默认 层 部 署 应 用 程序 。 我 们 已 经 创建 了 一 个 
Nodejs 层 。 按 照 下 面 的 步骤 向 这 个 层 添加 一 个 应 用 程序 。 


(1) 从 子 菜 单 中 选择 Apps。 
(2) 点 击 Add an App 按 钮 。 
(3) 在 Name 中 输入 kiwiIRC ° 
(4) 在 Type 中 选择 Node.js 


(5) 为 Repository Type 人选 Git， 并 为 Repository URL# A 
https://github.com/AWSinAction/ KiwiIRC.git， 如 图 5-14 所 示 。 


(6) 点 击 Add App 按 钮 。 


我 们 的 第 一 个 OpsWorks 堆 栈 现在 完全 配置 好 了 。 还 漏 掉 了 一 件 事 
一 启动 一 些 实例 。 


@ 为 应 用 程序 选择 一 个 名 字 @ 选 择 Nodejs 作为 环境 
Add App 


Settings 
Name kiwilRC 
Type Node.js -| 


By default we expect your Node.js app to listen on port 80. Furthermore, the file we pass to node has to 
be named "server.js" and should be located in your app's root directory. 
Data Sources 


Data source type RDS OpsWorks © None 


Application Source 


Repository type Git -| 
Repository URL https://github.com/AWSinActior/KiwilR' Set the URL where your repository can be accessed. 
Repository SSH key ptional Enter the SSH key required to access a private repository. 
Branch/Revision 

鼻 访 问 公 开 的 GitHub 库 


图 5-14” 问 OpsWorks 添 加 kiwiIRC， 一 个 Node.js 应 用 程序 


添加 实例 来 运行 IRC 客 户 端 与 服务 器 


添加 两 个 实例 来 实现 kiwiIRC 客 户 问 与 服务 器 。 同 一 个 层 添 加 新 实 
例 很 容易 ， 按 照 下 面 的 步 又 来 操作 。 


(1) 从 子 菜 单 中 选择 Instances 。 
(2) 在 Node.js App Server 层 中 点 击 Add an Instance 按 钮 。 


(3) 在 Size 中 选择 t2.micro， 最 小 、 最 便宜 的 虚拟 服务 器 ， 如 图 5- 
15 所 示 。 


(4) 点 击 Add Instance ° 


我 们 已 经 同 Node.js 应 用 程序 服务 器 层 添加 了 一 个 实例 。 为 irc- 
server 层 重复 这 些 步 又 。 


实例 的 概览 应 该 类 似 于 图 5-16。 要 局 动 这 些 实例 ， 点 击 Start。 
虚拟 服务 做 引导 并 部 署 需要 人 花费 一 些 时 间 。 


点 击 向 Node.js 层 添加 一 个 新 实例 


E Stack Instances 
= Layers An instance represents a server, It can Delong to one or mory/iayers, tha! define the instance’s settings, resources, installed packages, 
HE Ins: profiles and security groups. When you start the instance, OpsWorks uses the associated layer's blueprint to create and configure a 
ENT corresponding EC2 instance. Learn more 
Time-based 
Load-based 
Node.js Server 
= Apps js App 
A Deployments No instances. Add an instance. 
aa Monitoring New Existing OpsWorks EC2 instances and own servers 
© Resources 
Hostname rodes app 
&@ Permissions =r 
Size micro "| Select the compute and memory size for your instance. 
Learn more. 
Subnet 72.30.0.0/24 - us-east- "| 
Advanced - 


omen 


选择 t2.micro， 最 小 的 虚拟 服务 器 类 型 


图 5-15 ”向 Node.js 层 添加 一 个 新 实例 


检查 size t2.micro 启动 实例 
Node.js App Server 
Hostname Status ~ Size ~ Type ~ AZ ~ Public IP -\ Actions 
nodejs-app1 | stopped | t2.micro 24/7 us-east-1a - > start Ñ delete 
+ Instance 
irc-server 
Hostname Status ~ Size ~ Type ~ AZ ~ Public IP ~ Actions 
irc-servert | stopped | t2.micro 24/7 us-east-1a - > start ii delete 
+ Instance 


实例 将 运行 24/7 


图 5-16 ”启动 IRC 网 站 客户 端 与 服务 器 实例 
6， 玩 转 kiwiIRC 


局 动 两 台 实 例 后 ， 耐 心 等 竺 两 个 实例 的 状态 都 变 为 Online， 如 疼 
5-17 所 示 。 然后 就 可 以 按 下 而 的 步骤 在 浏览 种 中 打开 kiwiIRC 了 。 


(1) 记 住 实例 irc-server1 的 公有 IP 地 址 。 稍 后 我 们 需要 用 它 来 连 
接 IRC 服 务 器 。 


(2) 点 击 nodejs-app1 实 例 的 公有 I 了 P 地 址 来 在 浏览 器 的 新 标签 中 打 
开 kiwiIRC 网 站 应 用 。 


人 @ 等 待 状态 变 为 Online @ 点 击 在 新 浏览 器 标签 页 中 打开 kiwilRC 
| | 
Node.js App Server 
Hostname Status ~ Size ~ Type <“ AZ ~ Public IP ~ Actions 
nodejs-app1 [online | t2.micro 24/7 us-east-1a 52.5.78.64 = stop 国 ssh 
中 Instance 
irc-server 
Hostname ~ Status ~ Size ~ Type ~ AZ ~ Public IP ~ Actions 
irc-server1 [online | t2.micro 24/7 us-east-1a 52.5.226.184 = stop BM ssh 
a 
+ Instance N 
合 记 住 这 个 IP 地 址 


图 5-17 ”等 等 部 署 完成 并 在 浏览 器 中 打开 kiwiIRC 


kiwiIRC 应 用 应 该 会 在 浏览 器 中 装载 ， 然 后 我 们 应 该 看 见 一 个 图 5- 
LBA OR IF I © 。 按 照 下 面 的 步骤 使 用 kiwiIRC 网 站 客户 端 登录 到 


IRCHRA as 


输入 一 个 昵称 

在 Channel 项 中 输入 #awsinaction 。 
点 击 Server and Network， 打 开 连 接 详细 信息 。 
在 Server 项 中 输入 irc-server1 的 IP 地 址 。 

在 Port 项 中 输入 6667 。 

禁用 SSL ° 


点 击 Start， 然 后 等 待 几 秒 。 


目前 为 止 ， 我 们 已 a AWS OpsWorks 的 帮助 下 部 署 了 一 个 基于 
网 站 的 IRC 客 户 端 和 服务 


为 聊天 选择 你 的 昵称 ” 选择 #awsinaction 作 为 聊天 的 频道 


Think of a nickname... 


E 


A hand-crafted IRC client that you can 
enjoy. Designed to be used easily and 
freely. 


Nickname me 


| have a password 


Channel ftawsinaction a, 


Peek at the Kiwi IRC homepage for more 
information or to find out how to embed it on 


Stat oe Sg ASEE 
Try the GitHub page. This network of people 
may not be associated with Kiwi IRC itself. 


Server ar 


Server 52.5.226.184 


aN 


禁用 SSL 输入 端口 6667 输入 irc-server1 的 IP 地 址 


图 5-18 ”使 用 kiwiIRC 登 录 到 IRC 服 务 器 ， 使 用 信道 #awsinaction 


是 时 候 做 一 些 清理 工作 了 。 按 照 下 面 的 步骤 避免 意外 费用 支出 。 
使 用 管理 控制 台 打 开 OpsWorks 服 务 。 

点 击 并 选择 irc 堆 栈 。 

从 子 菜单 中 选择 Instances。 

停止 两 个 实例 ， 并 等 待 直到 它们 的 状态 变 为 Stopped 。 
删除 两 个 实例 ， 并 等 待 知道 它们 从 概览 中 消失 。 

从 子 菜单 中 选择 Apps。 

删除 kiwiIRC 应 用 程序 。 

从 子 菜单 中 选择 Stack。 

sti Delete Stack 按 钮 ， 并 确认 删除 。 


10) 从 终端 执行 aws cloudformation delete-stack --stack-name irc 


55 ”比较 部 署 工具 


在 本 章 中 我 们 使 用 了 以 下 3 种 方法 来 部 署 应 用 。 


。 使 用 AWS CloudFormation 在 服务 器 启动 时 运行 一 个 脚本 。 
。 使 用 AWS Elastic Beanstalk 部 署 一 个 通用 网 站 应 用 。 
。 使 用 AWS OpsWorks 部 署 一 个 多 层 架 构 应 用 。 


本 节 中 我 们 将 讨论 这 几 种 方法 的 不 同 之 处 。 
5.5.1 对 部 署 工 具 分 类 


图 5-19 分 类 了 3 个 AWS 部 署 选 项 。 在 AWS Elastic Beanstalk 帮 助 下 
部 署 一 个 应 用 所 需 的 工作 量 较 低 。 要 从 这 一 点 获 益 ， 用 户 的 应 用 必须 
符合 Elastic Beanstalk 的 惯例 。 例 如 ， 应 用 必须 运行 在 某 一 标准 运行 环 
境 中 。 如 果 用 户 使 用 OpsWorks， 束 能 够 有 更 多 目 由 来 根据 目 己 的 应 用 
需求 调整 服务 。 例 如 ， 用 户 可 以 部 署 互相 依赖 的 不 同 层 ， 也 可 以 使 用 
和 目 定义 层 来 在 Chef recipe 的 帮助 下 部 署 任何 应 用 ， 这 需要 额外 的 工作 
量 ,， 但 让 用 户 获得 了 更 多 的 自由 度 。 此 外 ， 用 户 可 以 使 用 
CloudFormation， 通 过 在 引导 流程 结束 时 运行 一 个 脚本 来 部 署 应 用 。 
在 CloudFormation 的 帮助 下 用 户 可 以 部 署 任何 应 用 。 这 一 方法 的 缺点 
是 ， 因 为 用 户 没有 使 用 标准 工具 ， 所 以 用 户 需 要 做 更 多 的 工作 。 


便利 性 控制 


Elastic Beanstalk OpsWorks CloudFormation 
及 附带 的 自 定义 脚本 


图 5-19 ”比较 AWS 上 不 同 的 部 署 应 用 的 方式 


5.5.2 ”比较 部 署 服务 


上 面 的 分 类 能 帮助 用 户 确 定 部 车 应 用 的 最 适合 方法 。 表 5-1 中 的 比 
较 强 调 了 其 他 重要 的 考量 因素 。 


表 5-1 使 用 CloudFormation 在 服务 器 启动 时 运行 脚本 、Elastic Beanstalk 和 OpsWorks 的 区 别 


使 用 CloudFormation 在 


服务 器 启动 Elastic Beanstalk OpsWorks 


m Ruby on Rails 
m Node.js 
m PHP 
m Java/Tomcat m Java/Tomcat 
m Python = Custom/any 


m Docker 


支持 的 部 署 构 任意 Amazon S3 上 的 Zip |Git、SVN、 存 档 文件 
件 党 存档 文件 (如 Zip) 


日 不 标准 的 环境 3 通 网 站 应 


没有 全 机 时 间 | 可 能 


供应 商 锁定 效 | 中 等 
应 可 


在 AWS 上 还 有 许多 其 他 部 署 应 用 的 可 选项 ， 从 开源 软件 到 第 三 
服务 。 我 们 的 建议 是 使 用 AWS 部 署 服务 之 一 ， 因 为 它们 更 好 地 集成 了 
许多 其 他 AWS 服 务 。 我 们 推荐 使 用 CloudFormation 的 用 户 数据 来 部 署 
应 用 ， 因 为 它 是 一 种 灵活 的 方法 。 在 CloudFormation 的 帮助 下 管理 
Elastic Beanstalk 和 OpsWorks 也 是 可 能 的 。 


一 个 目 动 化 的 部 署 流程 将 有 助 于 更 快 地 和 欠 代 与 创新 。 用 户 会 更 经 
常 地 部 署 目 己 的 应 用 的 新 版 本 。 要 避免 服务 中 断 ， 用 户 需 要 考虑 目 动 


A 架构 的 变更 ， 并 且 要 能 在 必要 时 快速 回 深 到 上 一 版 


5.6 ”小结 


© 因为 在 一 个 动态 云 环 境 中 虚拟 服务 器 变 化 更 频繁 ， 所 以 不 建议 手 

动 部 署 应 用 到 虚拟 服务 器 上 。 

AWS 提 供 不 同 的 工具 帮助 用 户 将 应 用 部 署 到 虚拟 服务 器 上 。 使 用 

这 些 工 具 可 以 避免 从 头 开始 。 

如 果 能 够 进行 自动 化 部 署 ， 可 以 无 须 照 顾 具体 的 服务 絮 而 直接 更 

渐 一 个 应 用 。 

在 虚拟 服务 器 启动 时 插入 Bash 或 PowerShell 脚 本 ， 可 以 让 用 户 有 

区 别 地 初始 化 服务 器 ， 例 如 ， 安 闭 不 同 的 软件 或 配置 服务 。 

。 OpsWorks 在 Chef 的 帮助 下 是 部 署 多 层 架 构 应 用 的 好 方法 。 

。Elastic Beanstalk 适 合 部 署 普 通 网 站 应 用 。 

。 CloudFormation 在 用 户 部 署 自 己 负责 的 应 用 时 给 其 最 多 的 控制 能 
力 o 


Bom ”保护 系统 安全 : IAM、 安 全 组 和 
VPC 


本 章 主要 内 容 


。 安装 软件 更 新 

。 使 用 用 户 与 角色 来 控制 对 AWS 账 户 的 访问 
。 使 用 安全 组 来 控制 数据 传输 安全 

。 使 用 CloudFormation 来 创建 私有 网 络 

。 谁 该 对 安全 负责? 


假如 安全 是 一 墙 墙 ， 那 么 我 们 需要 很 多 砖 块 来 建造 这 墙 墙 。 本 章 
将 着 重 讲述 在 AWS 上 保护 用 户 系统 安全 所 需 的 4 个 重要 的 砖 块 。 


安 闭 软件 更 新 一 一 每 天 都 有 新 的 软件 安全 漏洞 被 发 现 。 软 件 制 造 
商 发 布 更 新 来 修补 这 些 漏洞 ， 而 用 户 的 任务 束 是 在 这 些 更 新 发 布 
E wo 


限制 访问 AWS 账 户 一 一 假如 用 户 不 是 唯一 访问 自己 的 AWS 账 户 的 
人 ， 那 这 一 点 束 变 得 更 重要 了 (如 果 同 事 以 及 脚本 也 会 访问 它 的 
话 ) 。 一 个 有 bug 的 脚本 可 以 很 容易 就 终止 用 户 的 所 有 EC2 实 例 而 
不 是 那个 用 户 想 要 终止 的 。 授 予 最 小 权限 是 保护 用 户 的 AWS 资 源 
免 于 意外 或 故意 的 致命 操作 。 

控制 进出 用 户 的 EC2 实 例 的 网 络 传输 一 一 用 户 只 想 要 那些 必需 的 
端口 能 够 被 访问 到 。 如 果 用 户 运行 一 个 网 络 服务 器 ， 对 外 部 世界 
只 需要 为 HTTP 流 量 打 开 80 端 口 ， 为 HTTPS 流 量 打 开 443 端 口 。 请 
关闭 所 有 其 他 端口 ! 

在 AWS 内 创建 一 个 私有 网 络 


用 户 可 以 创建 从 互联 网 不 可 达 的 


子 网 。 如 果 这 些 子 网 不 可 达 ， 殊 没 人 能 访问 它们 。 没 有 人 能 访 
和 


| 本 章 中 的 所 有 示例 都 包含 在 免费 套餐 中 。 只 要 不 是 运行 这 些 示 例 好 几 天 ， 就 不 需要 文 
付 任 何 费用 。 记 住 ， 这 仅 适 用 于 读者 为 学 习 本 书 刚刚 创建 的 全 新 AWS 账 户 ， 并 且 在 这 
| AWSIK BE 其 他 活动 。 尽 量 在 几 天 的 时 间 里 完成 本 章 中 的 示例 ， 在 每 个 示例 完成 后 务 
NA EM 


res 


wT REZEK: 保护 用 户 目 己 开 发 的 应 用 的 安全 。 用 户 需 
妥 答 查 使 用 者 的 输入 并 且 只 允许 必需 的 字符 ， 个 要 使 用 明文 存储 密 
码 ， 使 用 SSL 来 加 密 目 己 的 服务 大 与 使 用 者 之 间 的 数据 传输 ， 等 等 。 


要 完全 理解 本 章 ， 读 者 应 该 熟悉 以 下 概念 : 


Tey (ACL) ; 


RHN (IP) 基础， 包括 耳 地址。 


6.1 谁 该 对 安全 负责 
AWS 是 一 个 责任 共 担 的 环境 ， 束 是 说 安全 责任 是 由 AWS 和 用 户 共 
同 承 担 的 。AWS 承 担 以 下 责任 。 
。 通 过 目 动 监测 系统 和 健壮 的 互联 网 访问 来 保护 网 络 避 免 受到 分 布 
式 拒绝 服务 (DDoS) 攻击 。 
。 对 能 访问 敏感 区 域 的 雇员 进行 背景 调查 。 
° a 退役 时 会 在 它们 的 生命 周期 结束 后 通过 物理 方式 进行 破 
。 人 确保 数据 中 心 的 物理 和 环境 安全 ， 包 括 防 火 和 保安 人 员 。 


这 些 安全 标准 由 第 三 方 团 体 审 查 。 用 户 可 以 在 AWS 官 方 网 站 找到 
最 新 的 概 咒 。 


用 户 承 担 以 下 责任 。 


。 加密 网 络 数据 传输 来 防止 攻击 者 读 取 或 操纵 数据 (如 HTTPS) 。 
。 使 用 安全 组 和 ACL 来 为 自己 的 虚拟 私有 网 络 配 置 防火 墙 ， 以 控制 
流入 和 流出 的 数据 。 

管理 虚拟 服务 器 上 的 操作 系统 及 其 他 软件 的 补丁 。 
ee eee 
资源 的 访问 。 


云 中 的 安全 关系 到 AWS 和 用 户 的 相互 影响 。 如 采用 户 遵守 规则 ， 
忠 能 在 云 中 达到 高 的 安全 标准 。 


6.2 ”使 软件 保持 最 新 


每 个 星期 都 有 修复 安全 漏洞 的 重要 更 新 发 布 。 有 时 候 用 户 的 操作 
系统 会 受到 影响 ， 有 时 候 像 OpenSSL 这 样 的 软件 库 会 受到 影响 ， 有 时 
候 Java、Apache 和 PHP 这 样 的 环境 会 受到 影响 ， 有 时 候 WordPress 这 样 
的 应 用 程序 会 受到 影响 。 如 采 一 个 安全 更 新 发 布 了 ， 用 户 必须 快速 安 
冯 它 ， 因 为 如 何 利用 这 一 漏洞 可 能 与 更 狐 同 时 发 布 了 ， 或 者 说 每 个 人 
都 能 通过 查看 源 代码 来 重建 漏洞 。 用 户 应 该 有 如 何 尽快 将 更 新 应 用 到 
所 有 正在 运行 的 服务 器 上 的 工作 计划 。 


6.2.1 检查 安全 更 新 


如 果 用 户 通 过 SSH 登 录 到 一 台 Amazon Linux EC2 实 例 ， 就 会 看 到 
下 面 当 日 的 消息 : 


$ ssh ec2-user@ec2-52-6-25-163.compute-1.amazonaws.com 
Last login: Sun Apr 19 07:08:08 2015 from [...] 


eal ls 
af / 
—_|\__|__| 


Amazon Linux AMI 
https://aws.amazon.com/[...]/2015.03-release-notes/ 
4 package(s) needed for security, out of 28 available ---4 个 安 


全 更 新 可 


Run "sudo yum update" to apply all updates. 


这 个 例子 表示 4 个 安全 更 新 可 用 ， 这 个 数目 在 更 新 的 时 候 可 能 会 发 
o Oe ee 
ALP AY sat ° 


AAP ey DM H yum 2’ la CE Amazon Linux 上 处 理 这 些 更 
新 。 运 行 yum-security check-update 来 看 哪些 程序 包 需 要 安全 
更 新 : 


$ yum --security check-update =- -读者 运行 这 一 命令 时 结果 可 能 不 同 
4 package(s) needed for security, out of 28 available 


ere 
openssl.x86_64 1:1.0.1k-1.84.amzn1 amzn-updates 


OpenSSL 是 一 个 用 于 SSL 加 密 的 库 
[...] 

unzip.x86_64 6.0-2.9.amzn1 amzn-updates 
unzip 可 以 〈 解 ) 压缩 文件 
[...] 


Fel eo A 16 bf Amazon Linux AMI Security Center3k Hti] 
Amazon Linux 的 安全 公告 。 当 一 个 新 的 安全 更 新 发 布 时 ， 用 户 应 该 检 
查 目 己 是 否 受 到 影响 。 


在 处 理 安全 更 新 时 ， 用 户 可 能 遇见 下 面 两 种 状况 之 一 。 
。 当 服务 右 第 一 次 局 动 时 ， 需 要 安装 很 多 安全 更 狐 来 使 服务 右 保 持 


本 
Bae | 

新 的 安全 更 新 发 布 时 用 户 的 服务 器 正在 运行 ， 用 户 需要 在 服务 器 
运行 时 安装 这 些 更 新 。 


让 我 们 来 看 看 如 何 处 理 这 些 状况 。 


6.2.2 ”在 服务 器 启动 时 安装 安全 更 新 


如 果 用 户 使 用 CloudFormation 模 板 创建 自己 的 EC2 实 例 ， 用 户 可 以 
有 3 种 选项 在 启动 时 安装 安全 更 新 。 


。 在 服务 颖 启动 时 安装 所 有 更 新 。 在 目 己 的 用 户 数 据 脚本 中 加 入 
yum-y update 。 

。 在 服务 硕 局 动 时 仅 安装 安全 更 新 。 在 目 己 的 用 户 数据 脚本 中 加 入 
yum-y-security update ° 

。 明确 指定 程序 包 版 本 。 安 装 指定 版 本 号 的 更 新 。 


前 两 个 选项 很 容易 被 沭 加 到 用 户 的 EC2 实 例 的 用 户 数据 中 。 用 户 
可 以 安 狠 所 有 更 新 ， 如 下 所 示 : 


we oll 
"Server": { 
"Type": "AWS::EC2::Instance", 
"Properties": { 
[...] 


"UserData": {"Fn::Base64": {"Fn::Join": ["", 


"#!/bin/bash -ex\n", 
"yum -y update\n" -- -服务 器 启动 时 安装 所 有 有 
]]}} 
} 


仪 安 狠 安全 更 新 的 话 可 以 这 样 做 : 


"Server": { 
"Type": "AWS::EC2::Instance", 
"Properties": { 
Lx] 
"UserData": {"Fn::Base64": {"Fn::Join": ["", [ 


"#!/bin/bash -ex\n", 
"yum -y --security update\n" -- -RARAOIN NER 
]]}} 
} 


安装 所 有 更 新 的 问题 在 于 用 户 的 系统 变 得 难以 预料 。 如 果 用 户 的 
服务 器 是 上 一 周 局 动 的 ， 所 有 被 应 用 的 更 新 是 上 一 周 发 布 的 。 然 而 同 
时 ， 新 的 更 新 被 发 布 了 。 如 果 用 户 今天 启动 一 台新 服务 器 并 且 安 装 所 
有 更 狐 ， 那 么 用 户 最 终 将 得 到 一 台 与 上 一 周 完全 不 同 的 服务 器 。 不 同 
意味 着 因为 某 些 原因 它 可 能 不 再 工作 。 这 就 是 我 们 鼓励 用 户 明 确定 义 
自己 想 安装 的 更 新 的 原因 。 要 明确 指定 所 安装 的 安全 更 新 的 版 本 ， 用 
户 可 以 使 用 yum update-to MS °- yum update-to 使 用 明确 的 版 
本 来 更 新 程序 包 ， 而 不 是 使 用 最 新 的 : 


yum update-to openssl-1.0.1k-1.84.amzn1 \ 二 - -更 新 penssl 至 版 本 
1.0.1k-1.84.amzn1 


unzip-6.0-2.9.amzn1 -- -更 新 unzip 至 版 本 6.0-2.9.amznl 


[...] 

"Server": { 
"Type": "AWS::EC2::Instance", 
"Properties": { 


"UserData": {"Fn::Base64": {"Fn::Join": ["", [ 
"#!/bin/bash -ex\n", 
"yum -y update-to openssl-1.0.1k-1.84.amzn1 unzip-6.0- 


同样 的 方法 也 适用 于 非 安 全 相关 的 程序 包 更 新 。 当 有 新 的 安全 更 
户 应 该 检查 自己 是 否 受 到 影响 并 修改 用 户 数据 来 保持 新 
AR DU JAE x 


6.2.3 FEMBASTNARRS SH 


不 时 地 ， 用 户 必须 在 自己 所 有 正在 运行 的 服务 器 上 安装 安全 更 
新 。 用 户 可 以 手动 使 用 SSH 登 录 到 自己 所 有 的 服务 器 上 ， 然 后 运行 
yum-y-security update 或 者 yum update-to[...] ， 但 是 如 
果 用 户 有 很 多 服务 器 或 服务 器 数目 在 增长 ， 这 会 变 得 很 烦人 。 一 个 办 
法 是 使 用 一 个 小 脚本 获取 自己 的 服务 器 列表 ， 然 后 在 所 有 服务 器 上 运 
行 yum 来 使 这 个 任务 自动 化 。 代 码 清单 6-1 展 示 了 在 Bash 中 怎样 能 做 
° 读者 可 以 在 本 书 的 代码 目录 /chapter6/update.sh 中 找到 相应 的 代 
oe 


代码 清单 6-1 在 所 有 正在 运行 的 EC2 实 例 上 安装 安全 更 新 


PUBLICNAMES=$(aws ec2 describe-instances \ =- -获得 所 有 正在 运行 的 
EC2 实 例 的 公共 DNS 名 
--filters "Name=instance-state-name, Values=running" \ 
--query "Reservations[].Instances[].PublicDnsName" \ 
--output text) 


for PUBLICNAME in $PUBLICNAMES; do 
ssh -t -o StrictHostKeyChecking=no ec2-user@$PUBLICNAME \ 
-通过 SSH 连接 


"sudo yum -y --security update" - -然后 执行 yum update 
done 


现在 我 们 可 以 快速 地 将 更 新 应 用 到 所 有 正在 运行 的 服务 器 上 了 。 


有 些 安全 更 新 要 求 重 启 虚 拟 服 务 絮 。 例 如 ， 如 果 用 户 需 要 给 目 己 
的 运行 Linux 的 虚拟 服务 器 内 核 打 补丁 。 用 户 可 以 目 动 重启 服务 器 或 切 
换 到 一 个 已 经 更 新 的 AMI， 然 后 启动 一 台新 的 虚拟 服务 絮 。 例 如 ,一 
个 新 的 Amazon Linux AMI 一 年 发 布 4 次 。 


6.3 ”保护 AWS 账 户 安全 


保护 AWS 账 户 安 全 非常 关键 。 如 采 有 人 能 访问 你 的 AWS 账 户 ， 他 
们 束 可 以 窃取 你 的 数据 ， 破 坏 任意 东西 (如 数据 、 备 份 、 服 务 器 ) ， 
或 者 窃取 你 的 身份 来 干 坏事 。 图 6-1 展 示 了 一 个 AWS 账 户 。 每 个 AWS 
账户 有 一 个 root 用 户 。 在 本 书 的 例子 中 ， 当 我 们 使 用 管理 控制 台 时 束 
是 使 用 root 用 户 ; 如果 使 用 CLI， 我 们 将 使 用 4.2 节 中 创建 的 用 户 


mycli。 除 root 用 户 之 外 ， 一 个 AWS 账 户 中 包含 了 你 拥有 的 所 有 资源 ， 
如 EC2 实 例 、CloudFormation 扒 栈 、IAM 用 户 等 。 


要 访问 你 的 AWS 账 户 ， 攻 击 者 必须 能 使 用 你 的 账户 认证 。 有 3 种 
方法 可 以 做 到 这 一 点 : 使 用 root 用 户 ， 使 用 一 个 普通 用 户 ， 或 者 被 认 
证 为 一 个 AWS 资 源 (如 EC2 实 例 ) 。 要 被 认证 为 一 个 ( 根 ) 用 户 ， 攻 
击 者 需要 密码 或 访问 密 钥 。 要 认证 为 一 个 AWS 资 源 (如 EC2 服 务 
器 ) ， 攻 击 者 需要 从 那个 EC2 实 例 发 送 APICLI 请 求 。 


在 本 市 中 ， 我 们 将 开始 使 用 多 重 身份 验证 (MFA) 来 保护 你 的 
root 用 户 。 然 后 你 将 停止 使 用 root 用 户 ， 创 建 一 个 新 用 户 用 于 日 常 操 
作 ， 然 后 学 会 授予 一 个 角色 最 小 权限 。 


管理 控制 台 


E3 
AWS 账 户 | 
WY 


资源 


root 用 户 
$ cli 
s b d 


Na ES 一 -一 EC2 实 例 
Aei en oza 
CloudFormation 
堆栈 


图 6-1 一 个 AWS 账 户 包 含 所 有 AWS 资 源 ， 并 且 默 认 有 一 个 root 用 户 


6.3.1 ”保护 AWS 账 户 的 root 用 户 安全 


如 果 你 准备 在 产品 中 使 用 AWS， 建 议 你 为 自己 的 root 用 户 启用 多 
重 身 份 验证 (MFA) 。 在 MFA 被 激活 后 ， 你 需要 一 个 密码 和 一 个 临时 
令 牌 来 作为 root 用 户 登 水 。 这 样 一 个 攻击 者 不 仅 需 要 你 的 密码 ， 还 需 
要 你 的 MFA 设 备 。 


按照 下 面 的 步骤 来 启用 MEFA， 如 图 6-2 所 示 。 


(1) 在 管理 控制 台 的 导航 栏 项 部 点 击 你 的 名 字 。 


(3) 第 一 次 可 能 会 出 现 一 个 弹出 框 ， 需 要 选择 继续 安全 凭证 。 


(4) 在 智能 手机 上 安装 一 个 MFA 应 用 (如 Google 
Authenticator) ° 


(5) 展开 多 重 身 份 验证 (MFA) 。 
(6) 点 击 激 活 MFA。 


(7) 跟随 向 导 中 的 指令 。 使 用 智能 手机 上 的 MFA 应 用 扫描 所 显 
示 的 QR 人 码 。 


我 的 账户 

« 人 尔 的 安全 全 
您 的 安全 凭证 我 的 组 织 
使 用 此 页 面 管理 AWS 账户 凭证 。 要 管理 AWS Identity and Access Management 
要 了 解 有 关 AWS 凭证 类 型 和 如 何 应 用 的 更 多 信息 ， 请 参见 "AWS 常规 参考 "中 的 


控制 面板 我 的 账单 控制 面板 AM 控制 台 。 


组 我 的 安全 凭证 
用 户 + #6 . 
退出 

角色 - Multi-Factor Authentication (MFA) 
策略 

您 可 以 使 用 AWS MFA 在 网 站 登录 时 增加 您 AWS 环境 的 安全 。AWS MFA 启用 时 ， 您 除了 提供 用 户 名 和 密码 以 外 ， 也 需 提供 从 
身份 提供 商 AWS MFA 设备 得 到 的 身份 验证 代码 。 
账户 设置 
凭证 报告 

+ ”访问 密 钥 (访问 密 钥 ID 和 私有 访问 密 钥 ) 

+ CloudFront 密 钥 对 
加 密 密 钥 

+ X.509 证书 

+ ”账户 标识 符 
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图 6-2 ”使 用 多 重 身份 验证 (MFA) 保护 你 的 root 用 广 


如 果 你 使 用 自己 的 智能 手机 作为 一 个 虚拟 MFA 设 备 ， 一 个 好 主意 
是 不 用 从 上 自己 的 箱 ?能 手机 登录 管理 控 制 Pie 手机 上 存储 root 用 户 
的 密码 。 确 保 MFA 令 有 牌 与 自己 的 密码 分 


Ne 


6.3.2 IAMS 


IAM (Identity and Access OSC aay 服务 通过 AWS API 提 供 
份 认 证 与 授权 所 需要 的 一 切 。 你 通过 AWS API 发 送 的 每 个 请 求 都 会 


过 IAM 来 检查 这 个 请 求 是 否 被 允许。IAM 控 制 在 你 的 AWS 账 户 里 ， 谁 
(身份 认证 ) 能 做 什么 (授权 ) : 谁 被 允许 创建 EC2 实 例 ? 用 户 是 否 
被 允许 终止 一 个 特定 的 EC2 实 例 ? 

使 用 IAM 进 行 身 份 认证 是 通过 用 户 和 角色 完成 的 ， 而 授权 是 通过 
策略 完成 的 。 表 6-1 展 示 了 用 户 和 角色 的 区 别 。 角 色 认 证 一 个 EC2 实 
例 ， 而 用 户 可 以 用 于 其 他 一 切 。 


表 6-1 root 用 户 、IAM 用 户 和 IAM 和 角色 的 区 别 


|__| me far | we 


i É PENA 一 一 一 


IAM 用 户 和 IAM 和 角色 使 用 集 略 进行 授权 。 在 我 们 继续 讲解 用 户 和 
角色 时 羊 先 看 一 下 抹 略 。 记 住 用 户 和 和 角色 不 能 做 任何 事 直 到 你 在 策略 
中 允许 特定 的 操作 。 


6.3.3 ”用 于 授权 的 策略 


每 个 策略 在 JSON 中 定义 且 包 含 一 个 或 多 个 声明 。 一 个 声明 可 以 人 允 
许 或 拒绝 在 特定 资源 上 做 特定 操作 。 用 户 可 以 在 AWS 官 方 网 站 找到 可 
用 于 EC2 资 源 的 所 有 操作 的 概 贤 。 通 配 符 * 可 以 被 用 来 创建 更 通用 的 
声明 。 


m 下 面 的 策略 有 一 个 声明 允许 对 EC2 服 务 中 所 有 资源 进行 任意 操 


"Version": "2012-10-17", -- -指定 2012-10-17 来 锁定 版 本 
"Statement": [{ 

"Sid": DEF 

"Effect": "Allow", -- -人 允许 


"Action": ["ec2:*"], 
"Resource": ["*"] 一 - - 
}] 
} 


如 打 在 同一 操作 上 有 多 个 声明 ， 拒 绝 将 履 凋 允许。 下 面 的 策略 允 
许 除了 终止 实例 以 外 的 所 有 EC2 操 作 : 


"Version": "2012-10-17", 
"Statement": [{ 
"Sid": he ae 
"Effect": "Allow", 
"Action": ["ec2:*"], 
"Resource": ["*"] 


} { 
"Sid": ae 


"Effect": "Deny", -- -拒绝 
"Action": ["ec2:TerminateInstances"], =- -.… 终止 EC2 实例 
"Resource": ["*"] 


}] 


} 


下 面 的 策略 拒绝 所 有 EC2 操 作 。 声 明 
ec2:TerminateInstances 不 是 关键 性 的 ， 因 为 Deny 镍 盖 Allow。 
当 你 拒绝 一 个 操作 时 ， 是 无 法 通过 在 另 一 个 声明 来 允许 它 的 ; 


{ 
"Version": "2012-10-17", 
"Statement": [{ 


"Sid": i eae 
"Effect": "Deny", 
"Action": ["ec2:*"], -- -拒绝 所 有 EC2 操作 


"Resource": ["*"] 


} { 
"Sid": "2", 
"Effect": "Allow", 
"Action": ["ec2:TerminateInstances"], 一- -人 允许 不 是 关键 性 的 ， 拒 
绝 履 盖 人 允许 


"Resource": ["*"] 


}] 
} 


资源 类 型 ( 仅 在 服务 


服务 提供 多 个 资源 时 ) 
arn:aws:ec2:us-east-1:878533158213:instance/i-3dd4f812 
下 
区 域 账户 ID 资源 


图 6-3 ”用 于 标识 一 个 EC2 实 例 的 Amazon Resource Name (ARN) 的 组 成 


至 此 ，Resource 部 分 我 们 使 用 了 ["*"] 来 表示 所 有 资源 。 在 
AWS 中 资源 有 一 个 Amazon Resource Name (ARN) ; 图 6-3 显 示 了 一 
个 EC2 实 例 的 ARN。 要 找 出 账户 ID， 你 可 以 使 用 CLI: 


$ aws iam get-user --query "User.Arn" --output text 


arn:aws: iam: :878533158213:user/mycli ---IKFID 有 12 个 数字 


如 果 你 知道 目 己 的 账户 ID， 则 可 以 使 用 ARN 来 允许 访问 一 个 服务 
的 特定 资源 : 


"Version": "2012-10-17", 
"Statement": [{ 

"Sid": M20 

"Effect": "Allow", 


"Action": ["ec2:TerminateInstances"], 
"Resource": ["arn:awsS:ec2:us-east -1:878533158213: instance/i- 
3dd4f812" ] 


}] 
} 


有 以 下 两 种 类 型 的 策略 。 


。 FL RES 如 果 用 户 想 创建 可 以 在 自己 的 账户 内 复 用 的 策略 ， 
托管 策略 正 是 用 户 要 找 的 。 有 以 下 两 种 类 型 的 托管 案 略 。 
o AWS 托 管 策略 AWS 维 护 的 策略 。 有 一 些 授予 管理 员 权 
限 、 只 读 权 限 等 的 策略 。 
o 客户 托管 策略 可 以 是 代表 你 的 组 织 中 的 角色 的 策略 。 
。 内 联 策略 一 一 属于 某 个 特定 IAM 和 角色 、 用 户 或 组 的 策略 。 内 联 策 
略 不 能 存在 于 IAM 和 角色、 用 户 或 组 之 外 。 


通过 CloudFormation ， 内 联 策 略 很 容易 维护 ， 这 就 是 为 什么 


我 们 在 本 书 中 大 多 数 时 候 使 用 内 联 策 略 的 原因 。 一 个 例外 是 mydli 用 
户 : 这 个 用 户 被 附加 了 AWS 托 管 寅 略 AdministratorAccess 。 


用 于 身份 认证 的 用 户 和 用 于 组 织 用 户 的 


一 个 用 户 可 以 被 密码 或 访问 密 钥 所 认证 。 当 用 户 登 录 到 管理 控制 
人 台 ， 用 户 是 通过 密码 认证 的 。 如 果 你 在 计算 机 中 使 用 了 CLI， 束 可 以 
使 用 一 个 访问 密 钥 来 认证 mydli 用 户 。 


目前 用 户 正 使 用 root 用 户 登录 管理 控制 台 。 因 为 使 用 最 小 权限 总 
征 个 好 主意 ， 你 将 为 管理 控制 台 创 建 一 个 新 用 户 。 为 了 使 将 来 添加 用 
户 更 容易 ， 首 移 要 为 所 有 管理 员 用 户 创建 一 个 组 。 一 个 组 不 能 被 用 来 
作为 号 份 认证 ， 但 它 集 中 了 授权 。 如 采 想 阻止 管理 员 用 户 终止 EC2 服 
务 器 ， 只 需 修 改 这 个 组 的 策略 ， 而 不 十 所 有 管理 员 用 户 的 策略 。 一 个 
用 户 可 以 不 是 任何 组 的 成 员 ， 也 可 以 是 一 个 或 多 个 组 的 成 员 。 


使 用 CLI 很 容易 创建 组 和 用 户 。 使 用 一 个 安全 的 密码 来 蔡 换 


$Password : 


$ aws iam create-group --group-name "admin" 

$ aws iam attach-group-policy --group-name "admin" \ 
--policy-arn "arn:aws:iam: :aws:policy/AdministratorAccess" 

$ aws iam create-user --user-name "myuser" 

$ aws iam add-user-to-group --group-name "admin" --user-name 


"myuser" 


$ aws iam create-login-profile --user-name "myuser" --password 
"$Password" 


用 户 myuser 已 经 准备 好 可 以 使 用 了 。 但 是 ， 如 果 不 是 使 用 root 用 
户 的 话 ， 则 必须 使 用 一 个 不 同 的 URL 来 访问 管理 控制 台 
https://$accountId.signin.aws.amazon.com/console。 用 之 前 使 用 aws 
iam get-user 提取 的 账户 ID 替换 $accountId ° 


我 们 也 鼓励 用 户 为 所 有 用 户 启用 MFA。 如 果 可 能 ， 不 要 为 自己 的 root 用 户 和 日 常用 户 
使 用 同样 的 MEA 设 备 。 用 户 可 以 从 AWS 合 作 伙伴 ， 如 Gemalto 那 里 以 13 美 元 购 买 硬 件 MFA 
设备 。 按 下 列 步骤 为 自己 的 用 户 启用 MFA © 
在 管理 控制 台中 打开 IAM 服 务 。 


在 左 侧 选择 用 户 。 


用 户 myuser ° 


生 页 面 底部 的 Sign-In Credentials 部 分 中 点 击 Manage MFA Device 按 钮 。 辣 导 
和 和 root 用 户 是 相同 的 。 


应 该 为 所 有 拥有 密码 的 用 户 激活 MFA， 即 哪些 可 以 使 用 管理 控制 台 的 用 户 。 


用 root 用 户 。 总 是 使 用 myuser 及 管理 控制 台 的 新 链接 。 


用 户 永远 不 应 该 把 一 个 用 户 访问 密 钥 复制 到 一 个 EC2 实 例 上 ， 要 使 用 IAM 和 角色! 不 要 
在 自己 的 源 代码 中 存储 安全 凭证 ， 并 且 永 远 不 要 把 它们 提交 到 自己 的 Git 或 VN 资源 库 中 。 
方案 是 ， 在 可 能 的 情况 下 党 试 使 用 AM 角色。 


6.3.55 ”用 于 认证 AWS 的 角色 


IAM 角 色 可 以 被 用 来 认证 AWS 资 源 ， 如 虚拟 服务 器 。 可 以 不 为 一 

个 EC2 实 例 附加 角色 ， 也 可 以 附加 一 个 或 多 个 角色 。 从 一 个 AWS 资 源 
(如 EC2 实 例 ) 发 送 的 每 个 AWS API 请 求 都 会 使 用 附加 的 角色 进行 认 

证 。 如 果 AWS 资 源 附 加 了 一 个 或 多 个 角色 ，IAM 会 检查 这 些 角色 附加 
的 所 有 策略 来 确定 请 求 是 否 是 被 允许 的 。 默 认 情 况 下 ，EC2 实 例 没 有 
任何 角色 ， 所 以 就 不 被 允许 调用 任何 AWS API © 

还 记得 第 4 章 中 的 临时 EC2 实 例 吗 ? 如 果 I 临 时 服务 器 没有 被 终止 
一 一 人 们 经 常态 了 这 么 做 。 许 多 钱 就 这 样 被 浪费 了 。 现 在 我 们 将 创建 
一 个 过 一 会 儿 会 自己 停止 的 EC2 实 例 。at 命令 将 在 5 min 延 迟 后 停止 这 
个 实例 : 


echo "aws ec2 stop-instances --instance-ids i-3dd4f812" | at now + 


5 minutes 


IX “SEC255 (iil Fe 221 IE A CAA oo Bel TAT LME FA BR RE 
行 授 权 。 下 面 的 代码 展示 了 如 何在 CloudFormation 中 把 角色 定义 成 一 


个 资源 : 


"Role": { 
"Type": "AWS::IAM::Role", 
"Properties": { 
"AssumeRolePolicyDocument": { -- -魔术 : 复制 和 粘贴 
"Version": "2012-10-17", 
"Statement": [{ 
"Effect": "Allow", 
"Principal": { 
"Service": ["ec2.amazonaws.com" | 


了 
"Action": ["sts:AssumeRole" ] 


}] 

ty 

W ath": Ly ae 

"Policies": [{ —- -策略 开始 
"PolicyName": "ec2", 
"PolicyDocument": { —- -策略 定义 


"Version": "2012-10-17", 
"Statement": [{ 


"Sid": "Stmt1425388787000", 


"Effect": "Allow", 
"Action": ["ec2:StopInstances"], 


"Resource": ["*"], -- -角色 之 后 创建 EC2 实例 : 不 能 {"Ref"} 一 
个 实例 ID! 
"Condition": { ---Condition 可 以 解决 这 一 问题 : 只 允许 用 堆栈 
ID 打上 标签 的 
"StringEquals": 


{"ec2:ResourceTag/aws:cloudformation:stack-id": 
{"Ref": "AWS: :StackId"}} 


要 附加 一 个 角色 给 实例 ， 必 须 首 先 创建 一 个 实例 配置 文件 : 


"InstanceProfile": { 
"Type": "AWS::IAM::InstanceProfile", 
"Properties": { 
"Path": PAN 
"Roles": [{"Ref": "Role"}] 
} 
} 


现在 可 以 把 角色 和 EC2 实 例 关联 起 来 了 : 


"Server": { 
"Type": "AWS::EC2::Instance", 
"Properties": { 
"TamInstanceProfile": {"Ref": "InstanceProfile"}, 
[...], 
"UserData": {"Fn::Base64": {"Fn::Join": ["", [ 
"#!/bin/bash -ex\n", 
"INSTANCEID=*curl -s ", 
"http://169.254.169.254/latest/meta-data/instance-id > \n", 
"echo \"aws --region us-east-1 ec2 stop-instances ", 
"--instance-ids $INSTANCEID\" | at now + 5 minutes\n" 
]]}} 
} 


Pe 

(E HAL Fhttps://s3.amazonaws.com/awsinaction/chapter6/server.json 
的 模板 创建 CloudFormation 堆 栈 。 我 们 可 以 通过 参数 指定 服务 器 的 生 
命 周 期 。 等 待 生 命 周期 结束 ， 然 后 看 看 实例 是 不 是 被 停止 了 。 生 命 周 
期 在 服务 器 完全 局 动 和 引导 后 开始 。 


CRASS 
| ft UNB 


“在 本 节 结束 时 别 忘 了 删除 堆栈 来 清除 所 有 用 过 的 资源 ， 否 则 很 可 能 会 因为 使 用 这 些 次 
RUA 。 


6.4 ”控制 进出 虚拟 服务 器 的 网 络 流量 


用 户 只 硕 望 必要 的 数据 流量 进出 目 己 的 EC2 实 例 。 使 用 防火 墙 ， 
用 户 可 以 控制 进入 〈 也 叫 作 inbound 或 ingress) 和 出 去 〈 也 叫 作 
outbound 或 egress) 的 数据 流量 。 如 果 用 户 运行 一 台 网 站 服务 器 ， 用 户 
需要 对 外 面 的 世界 打开 的 端口 只 有 HTTP 流量 使 用 的 80 端 口 及 HTTPS 
流量 使 用 的 443 端 口 。 所 有 其 他 端口 都 应 该 被 天 闭 ， 只 打开 必要 的 端 
口 ， 就 像 只 通过 IAM 授 予 最 小 的 权限 那样 。 如 采用 户 有 一 个 严格 的 防 
火 墙 ， 束 关闭 了 许多 可 能 的 安全 漏洞 。 用 户 也 可 以 通过 不 为 测试 系统 
开放 出 去 的 SMTP 连 接 来 阻止 不 小 心 从 测试 系统 发 送 给 客户 的 邮件 。 

在 网 络 流量 进入 或 离开 用 户 的 EC2 实 例 之 前 ， 它 将 罕 过 AWS 提 供 
的 防火 墙 。 这 个 防火 墙 审 查 网 络 流量 并 使 用 规则 来 确定 流量 是 被 允许 
的 还 是 被 拒绝 的 。 
( NIP HoH 


| 缩写 IP 代 表 Internet Protocol (网 际 协议 ) ， 而 IP 地 址 则 类 似 于 84.186.116.47。 


图 6-4 展 示 了 一 个 来 自 源 IP 地 址 10.0.0.10 的 SSH 请 求 是 怎样 被 防火 
甫 检查 ， 然 后 被 目的 地 IP 地 址 10.10.0.20 收 到 的 。 在 这 一 案例 中 ， 防 火 
墙 允 许 这 一 请 求 因 为 有 条 规则 允许 源 和 目的 地 址 之 间 的 端口 22 上 的 


TCP 流 量 。 


四 防火 墙根 据 规 则 审查 是 否 允 许 端口 
22 上 来 自 10.0.0.10 to 10.10.0.20 的 


TCP 请 求 
网 络 包 (简化) 
W IP 地 址 : 10.0.0.10 
IP 目的 卫 地 址 : 10.0.0.20 防火 墙 
协议 1: TCP 
TOP 目的 端口 : 22 允许 
E > 
= “一 一 图 
规则 出 站 
源 目的 地 址 
(10.0.0.10) 审查 流量 根据 (10.10.0.20) 
规则 进行 筛选 
@ 客 户 端 OR) 发 送 SSH (端口 22) 合 收 到 请 求 。 
请 求 至 IP 地 址 10.10.0.20 将 响应 送 回 源 


图 6-4 一 个 SSH 请 求 如 何 从 源 到 目的 地 ， 并 受 防火 墙 控 制 


入 站 安全 组 规则 筛选 基于 网 络 流量 的 源 。 源 可 以 是 一 个 卫 地 址 也 可 以 是 一 个 安全 组 。 


这 样 就 可 以 只 允许 从 特定 源 IP 地 址 范围 来 的 入 站 流量 。 


出 站 安全 组 规则 筛选 基于 网 路 流量 的 目的 地 。 目 的 地 可 以 是 一 个 下 地 址 或 安全 名 
以 只 允许 特定 目的 耳 地 址 范围 的 出 站 流量 。 


AWS 对 防火 墙 负 责 ， 但 你 对 规则 负责 。 默 认 情 况 下 ， 所 有 的 入 站 

流量 都 被 拒绝 而 所 有 的 出 站 流量 都 被 允许。 然后 你 可 以 开始 允许 入 站 

流量 。 如 果 开 始 添 加 出 站 流量 规则 ， 则 默认 值 会 从 允许 所 有 切换 至 拒 
绝 所 有 ， 只 有 你 添加 的 例外 会 被 允许 。 


6.4.1 使 用 安全 组 控制 虚拟 服务 器 的 流量 


一 个 安全 组 可 以 被 关联 到 AWS 资 源 2 o 通常 EC2 实 
Ti 过 一 个 安全 组 与 之 关联 ， 而 同一 安全 组 会 被 关联 到 许多 个 EC2 
实例 。 


一 个 安全 组 遵循 一 组 规则 。 一 个 规则 可 以 基于 以 下 内 容 允 许 网 络 


y5 S. 
mE: 


方向 (入 站 或 出 站 ) ; 

IP 协 议 (TCP ` UDP ` ICMP) ; 

源 IP 地 址 /目的 了 地 址 ; 

Mra H ; 

源 安全 组 /目的 安全 组 〈 仅 在 AWS 上 有 效 ) 。 


你 可 以 定义 规则 来 允许 所 有 的 流量 进入 和 离开 你 的 服务 器，AWS 
o o (Ee PRE AS ee SO, FEET AR Be 


在 CloudFormation 里 一 个 安全 组 资源 类 型 是 
AWS: :EC2::SecurityGroup 。 代 码 清 单 6-2 在 本 书 的 代码 目 
孙 /chapter6/firewalll.json 中 。 这 个 模板 描述 了 一 个 与 单个 EC2 实 例 关 联 
的 空 的 安全 组 。 


代码 清单 6-2 关联 单个 EC2 实 例 的 空 安全 组 


"Parameters": { 
"KeyName": { 
"Type": "AWS::EC2::KeyPair: :KeyName", 
"Default": "mykey" 


ty 
"ypc": { ---6.5 节 将 介绍 相关 内 容 
[...] 
ty 
"Subnet": { ---6.5 节 将 介绍 相关 内 容 
[...] 
} 
ty 
"Resources": { 
"SecurityGroup": { -- -安全 组 描述 


"Type": "AWS::EC2::SecurityGroup", 
"Properties": { 
"GroupDescription": "My security group", 
"VpciId": {"Ref": "VPC"} 


ty 
"Server": { ---EC2 实例 的 描述 
"Type": "AWS::EC2::Instance", 
"Properties": { 
"ImageId": "ami-1ecae776", 
"InstanceType": "t2.micro", 


"KeyName": {"Ref": "KeyName"}, 

"SecurityGroupIds": [{"Ref": "SecurityGroup"}], 一- -用 Ref 
将 安全 组 关联 到 EC2 实例 

"SubnetId": {"Ref": "Subnet"} 


要 探究 安全 组 ， 可 以 在 位 于 
https://s3.amazonaws.com/awsinaction/chapter6/firewall1.json 的 
CloudFormation 模 板 上 党 试 。 基 于 这 个 模板 创建 一 个 堆栈 ， 然 后 从 堆 
栈 输 出 复制 PublicName 。 


6.4.2 ”人 允许 ICMP 流 量 


如 果 用 户 要 从 自己 的 计算 机 ping 一 个 EC2 实 例 ， 就 必须 允许 来 目 
因特网 控制 报 文 协议 (Internet Control Message Protocol, ICMP) 流量 
入 站 。 默 认 情 况 下 ， 所 有 的 入 站 流量 都 被 阻止 了 。 党 试 ping 
$PublicName 来 确认 ping 访问 不 被 允许 : 


$ ping ec2-52-5-109-147.compute-1.amazonaws.com 
PING ec2-52-5-109-147.compute-1.amazonaws.com (52.5.109.147): 56 
data bytes 


Request timeout for icmp_seq 0 
Request timeout for icmp_seq 1 


[...] 


用 户 需 要 在 安全 组 中 添加 一 条 规则 来 多 许 入 站 流量 ， 其 中 协议 是 
ICMP。 代 码 清单 6-3 可 以 在 本 书 的 代码 目录 /chapter6/firewall2.json 中 找 
到 。 


代码 清单 6-3 ”允许 ICMP 的 安全 组 


"Resources": { 
"SecurityGroup": { 


fend 
ty 
"AllowInboundICMP": { <—--FREFICMP 规则 描述 
"Type": "AWS: :EC2::SecurityGroupIngress", =- -入 站 规则 类 型 
"Properties": { 
"GroupId": {"Ref": "SecurityGroup"}, —- -将 规则 与 安全 组 联系 
"TpProtocol": "icmp", =- -指定 协议 
"FromPort": "-1", ----1 意味 着 所 有 端口 
"ToPort": "1", 
"CidrIp": "0.0.0.0/0" ---0.0.0.0/0 意味 着 所 有 源 IP 地 址 都 被 
人 允许 
} 
ty 
"Server": { 
[..-] 
} 
} 
} 


使 用 位 于 
https://s3.amazonaws.com/awsinaction/chapter6/firewall2.json 的 模板 更 新 
CloudFormation 堆 栈 ， 然 后 再 次 尝试 ping 命令 。 现 在 它 看 上 去 应 该 是 
这 样 的 : 


$ ping ec2-52-5-109-147.compute-1.amazonaws.com 

PING ec2-52-5-109-147.compute-1.amazonaws.com (52.5.109.147): 56 
data bytes 

64 bytes from 52.5.109.147: icmp_seq=0 ttl=49 time=112.222 ms 


64 bytes from 52.5.109.147: icmp_seq=1 ttl=49 time=121.893 ms 


[...] 
round-trip min/avg/max/stddev = 112.222/117.058/121.893/4.835 ms 


站 现在 每 个 人 的 入 站 ICMP 流 量 (每 个 源 IP 地 址 ) 被 允许 抵达 EC2 实 
列 。 


6.4.3 ”人 允许 SSH 流 量 


能 够 ping 目 己 的 EC2 实 例 之 后 ， 用 户 会 想 要 通过 SSH 登 录 自 己 的 
nase 要 这 么 做 ， 必 须 创 建 一 条 规则 ， 人 允许 端口 22 上 的 入 站 TCP 请 
求 ， 如 代码 清单 6-4 所 示 。 


代码 清单 6-4 人 允许 SSH 的 安全 组 


Lica] 

"AllowInboundSSH": { =- -允许 SSH 规 则 描述 
"Type": "AWS::EC2::SecurityGroupIngress", 
"Properties": { 

"GroupId": {"Ref": "SecurityGroup"}, 
"IpProtocol": "tcp", —--SSH 基于 TCP 协议 
"EromPort": "22", -- -默认 的 SSH 端口 是 22 


"ToPort": "22", -- -人 允许 一 个 范围 的 端口 或 者 设置 FromPort = 


"CidrIp": "0.0.0.0/0" 


使 用 位 于 
https://s3.amazonaws.com/awsinaction/chapter6/firewall3.json 的 模板 更 新 
CloudFormation 堆 栈 。 现 在 我 们 可 以 使 用 SSH 登 录 目 己 的 服务 器 了 。 记 
住 ， 我 们 还 需要 正确 的 私 钥 。 防 火 墙 只 是 控制 网 络 层 ， 它 不 能 疹 代 基 
于 和 密 角 或 密码 的 身份 认证 。 


6.4.4 ”人 允许 来 自 源 IP 地 址 的 SSH 流 量 


目前 为 止 ， 我 们 允许 从 任意 IP 地 址 来 的 端口 22 (SSH) 上 的 入 站 


=. 
JILE ° 


在 模板 中 硬 编码 进 公 有 IP 地 址 并 不 是 一 个 好 的 解决 方案 ， 因 为 它 
会 时 不 时 发 生变 化 。 但 是 我 们 已 经 知道 解决 方法 BE 们 需 
要 添加 一 个 参数 来 保存 目 己 当前 的 公有 了 IP 地 址 ， 然 后 需要 修改 
AllowInboundSSH 规则 。 读 者 可 以 在 本 书 的 代码 目 

录 /chapter6/firewall4.json 中 找到 代码 清单 6-5。 


代码 清单 6-5 DUTP RF REIPHHLDRAYSSHAY KE 


"Parameters": { 


[...] 

"TpForSsH": { -- -公有 IP 地 址 参数 
"Description": "Your public IP address to allow SSH access", 
"Type": "String" 


ty 


"Resources": { 
"AllowInboundSSH": { 
"Type": "AWS: :EC2::SecurityGroupIngress", 
"Properties": { 
"GroupiId": {"Ref": "SecurityGroup"}, 
"IpProtocol": "tcp", 
"FromPort": "22", 
"ToPort": "22", 
"CidrIp": {"Fn::Join": ["", [{"Ref": "IpForSSH"}, "/32"]]} 
# FASIpForSSH/32 作为 值 


在 我 的 本 地 网 络 ， 我 是 使 用 以 192.168.0.* 开 头 的 私有 了 地址。 我 的 笔记 本 电脑 使 用 
192.168.0.10， 而 我 的 iPad 使 用 192.168.0.20。 如 果 我 访问 互联 网 ， 我 的 笔记 本 电脑 和 
ipad 使 用 相同 的 公有 IP (如 79.241.98.155 是 因为 只 有 我 的 互联 网 网 关 (那个 连接 至 互 
联网 的 盒子 ) 有 一 个 公有 IP 地 址 ， 而 所 有 ee E (如 果 读 者 想 深 入 人 研究 这 
可 查找 网 络 地 址 转换 ) 。 你 的 本 地 网 络 并 不 知道 这 个 公有 IP 地 址 。 我 的 笔记 本 电脑 和 
cae ee 网 关 可 以 在 私有 网 络 的 192.168.0.1 访 问 到 。 


要 找 出 你 的 公有 IP 地 址 ， 访 问 http:Vapi.ipify.org。 对 大 多 数 人 来 说 ， 通 常 当 我 们 重新 连 
| 在 我 的 案例 中 大 约 每 24 小 时 发 生 一 次 ) ， ER 地 发 生变 


? Sr 


ek 


使 用 位 于 
https://s3.amazonaws.com/awsinaction/chapter6/firewall4.json 的 模板 更 新 
CloudFormation 推 栈 。 当 要 求 输 入 参数 时 ， 输 入 你 的 公有 卫 地 址 
$IPForSSH 。 现 在 只 有 你 的 IP 地 址 能 够 建立 到 你 的 EC2 实 例 的 SSH 连 


fe ° 


读者 可 能 想 知 道 代 码 清单 6-5 中 的 /32 是 什么 意思 。 要 理解 发 生 了 什么 ， 需 要 将 思维 切 
换 至 二 进 制 模 式 。 一 个 IP 地 址 的 长 度 是 4 字 节 ( 即 32 位 ) 。/32 定义 的 位 数 在 这 一 案例 中 
是 32) 应 该 被 用 来 组 成 一 个 地 址 范围 。 如 果 想 定义 被 允许 的 准确 的 IP 地 址 ， 必 须 使 用 32 


位 。 


但 是 ， 有 时候 定 义 一 个 允许 的 IP 地 址 范围 是 合理 的 。 例 如 ， 我 们 可 以 使 用 
10.0.0.0/8 来 创建 一 个 10.0.0.0 至 10.255.255.255 之 间 的 范围 ， 使 用 10.0.0.0/16 来 创 
建 一 个 10.0.0.0 至 10.0.255.255 之 间 的 范围 ， 或 者 使 用 10.0.0.0/24 来 创建 一 个 10.0.0.0 至 
10.0.0.255 之 间 的 范围 。 不 是 必须 使 用 二 进 制 边界 (8, 16, 24, 32) ， 只 是 它们 对 大 多 数 人 
说 更 容易 理解 。 我 们 已 经 使 用 了 0 .0.0.0/9 来 创建 一 个 包含 每 一 个 可 能 IP 地 址 的 范围 。 


现在 我 们 已 经 能 够 通过 根据 协议 、 端 口 和 源 了 地 址 做 筛选 ， 来 控 
制 从 AWS 外 部 流入 或 流出 至 AWS 外 部 的 流量 了 。 


6.45 ”人 允许 来 自 源 安全 组 的 SSH 流 量 


如 采 要 控制 从 一 个 AWS 资 源 (如 一 个 EC2 实 例 ) 到 另 一 个 AWS 资 
源 的 流量 ， 安 全 组 是 很 强大 的 。 可 以 根据 源 与 目的 地 是 否 属于 一 个 特 
定 的 安全 组 来 控制 网 络 流量 。 例 如 ， 我 们 可 以 定义 一 个 MySQL 数 据 库 
只 能 被 目 己 的 网 站 服务 器 访问 ， 或 只 有 我 们 的 网 络 绥 存 服务 器 个人 允许 
访问 网 站 服务 器 。 因 为 云 的 弹性 性 质 ， 用 户 很 可 能 要 处 理 动态 数量 的 
服务 右 ， 所 以 基于 源 IP 地 址 的 规则 难以 维护 。 如 果 用 户 的 规则 是 基于 
源 安全 组 的 ， 这 整 会 变 得 很 容易 。 


要 探究 基于 源 安全 组 的 规则 的 能 力 ， 我 们 来 看 一 下 用 于 SSH 访 问 
的 堡垒 主机 《有些 人 称 其 为 跳 转 使) 的 概念 。 其 中 的 技巧 在 于 只 有 一 
台 服 务 器 一 一 堡垒 主机 ， 能 通过 SSH 被 互联 网 访问 (应 该 被 限制 到 一 
个 特定 的 源 IP 地 址 ) 。 所 有 其 他 服务 器 只 能 从 堡垒 主机 使 用 SSH 访 
问 。 这 一 方法 有 两 个 优势 。 


。 用 户 的 系统 只 有 一 个 入 口 ， 且 这 一 入 口 除了 SSH 不 做 其 他 事 。 这 
个 盒子 被 攻破 的 机 会 很 小 。 

。 如 果 用 户 的 某 台 网 站 服务 器 、 邮 件 服务 器 、FTP 服 务 器 等 被 攻破 
了 ， 攻 击 者 无 法 从 这 人 台 服务 器 跳 园 到 所 有 其 他 服务 器 。 


要 实现 堡垒 主机 的 概念 ， 必 须 遵守 这 两 条 规则 。 


。 IF M0.0.0.0/08K— NH XE URES A SSH U7 [J ERAS EDL © 
。 只 有 当 流 量 来 源 于 堡垒 主机 时 才 允 许 使 用 SSH 访 问 所 有 其 他 服务 
ax o 


Al6-Skeas T — R EAIA SARA ae HRA ° APN SAR AU 
接受 来 目 堡垒 机 的 入 站 SSH 访 问 。 


你 的 人 P 
Fs 地 址 


booo o o d 
SSH 
被 允许 
SSH 
EREN 
SSH SSH SSH 
被 允许 被 拒绝 被 允许 
Y 

= SSH 图 
服务 器 被 拒绝 服务 器 


图 6-5 ” 堡 仅 主机 是 唯一 能 用 SSH 访 问 系 统 的 点 ， 从 它 可 以 通过 SSH 访 问 所 有 其 他 服务 器 (使 
安全 组 实现 ) 


代码 清单 6-6 展 示 了 人 允许 从 特定 源 安全 组 的 SSH 规 则 。 


代码 清单 6-6 Seitit NB ENEASSHIAAINZeA 


"SecurityGroupPrivate": { 一 - - Zt 
"Type": "AWS::EC2::SecurityGroup", 
"Properties": { 

"GroupDescription": "My security group", 
"VpcId": {"Ref": "VPC"} 


ty 
"AllowPrivateInboundSSH": { 
"Type": "AWS: :EC2::SecurityGroupIngress", 
"Properties": { 
"GroupId": {"Ref": "SecurityGroupPrivate"}, 
"IpProtocol": "tcp", 
"FromPort": "22", 
"ToPort": "22", 


"SourceSecurityGroupId": {"Ref": "SecurityGroup"} -- -X5 
其 他 安全 组 时 允许 
} 


am 


HAUT 
https://s3.amazonaws.com/awsinaction/chapter6/firewall5.json 的 模板 更 新 
CloudFormation 推 栈 。 如 采 更 新 完成 了 ， 挫 栈 会 显示 以 下 3 个 输出 。 


e BastionHostPublicName 一 一 从 你 的 计算 机 通过 SSH 使 用 堡 
又 主机 连接 © 

e ServeriPublicName 

e Server2PublicName 


IRR BEME ELIE aX BARA ae ° 
IRR BEMER ELIE aX BARA ae ° 


现在 通过 SSH 命 令 ssh-I $PathToKey/mykey.pem-A ec2- 
user@$BastionHost` ``PublicName 连接 
BastionHostPublicName 。 把 $PathToKey 替换 成 你 的 SSH 密 钥 
路 径 ， 把 $BastionHostPublicName 替换 成 你 的 堡垒 主机 的 公开 名 
称 。-A 选项 用 于 启用 AgentForwarding ， 代 理 转 发 让 你 可 以 使 用 
你 登录 到 堡垒 主机 的 同一 密 钥 来 为 进一步 的 从 堡 仅 主机 发 起 的 SSH 登 
孙 进 行 号 份 认证 。 


执行 下 面 的 命令 来 把 你 的 密 钥 加 到 SSH 人 代理。 使 用 SSH 密 钥 路 径 
坎 换 $PathToKey : 


ssh-add $PathToKey/mykey . pem 


6.4.6 ”用 PuTTY 进 行 代理 转发 


要 使 用 PuTTY 进 行 代理 转发 ， 我 们 需要 确保 已 经 双击 私 钥 文 件 将 
密 钥 装载 到 PuTTY Pageant。 同 时 必须 启用 
Connection > SSH > Auth > Allow Agent Forwarding， 如 图 6-6 所 示 。 


fe PuTTY Configuration 
Category: 


Bell a Options controlling SSH authentication 


- Features = 
5- Window |_| Bypass authentication entirely (SSH-2 only) 


… Appearance [V] Display pre-authentication banner (SSH-2 only) 
~~ Behaviour 


Translation Authentication methods 


i» Selection [V] Attempt authentication using Pageant 
$. Colours 回 Attempt TIS or CryptoCard auth (SSH-1) 
=| Connection (1) [V] Attempt "keyboard nteractive” auth (SSH-2) 


Data 
ip Authentication parameters 
~» Proxy 


Telnet [V] Allow agent forwarding 
~~ Rlogin [E] Allow attempted changes of usemame in SSH-2 
E- SSH [2] Private key file for authentication: 
Kex Browse... 
Cipher 
ce Auth @ 
- TTY 


Lo X11 
- Tunnels 
i- Bugs 
… Serial 


About 


启用 代理 转发 


图 6-6 ”通过 PuTTY 人 允许 代理 转发 


这 样 从 堡垒 主机 就 可 以 继续 登录 到 $Sserver1Pub1icName 或 者 
$Server2PublicName : 


[computer]$ ssh -i mykey.pem -A ec2-user@ec2-52-4-234-102. 
[...].com =- -登录 到 堡垒 主机 

Last login: Sat Apr 11 11:28:31 2015 from [...] 

[...] 


[bastionh]$ ssh ec2-52-4-125-194.compute-1.amazonaws.com 一 -从 
堡垒 主机 登录 到 $Server1PublicName 

Last login: Sat Apr 11 11:28:43 2015 from [...] 

[...] 


堡垒 主机 可 以 用 来 为 系统 增加 一 层 安全 你 护 。 如 果 其 中 一 台 服 务 
妖 秘 攻陷 了 ， 攻 击 者 无 法 跳 转 到 系统 中 的 其 他 服务 右上 。 这 样 减 少 了 
一 个 攻击 者 能 够 造成 的 潜在 的 损害 。 堡 垒 主机 只 做 SSH 不 做 其 他 事 ， 
这 一 点 很 重要 ， 这 样 能 减少 它 成 为 安全 风险 的 机 会 。 我 们 经 常 使 用 您 
苟 主机 模式 来 保护 我 们 的 客户 。 


过 的 资源 ， 否 则 很 可 能 会 因为 使 用 这 些 资 


栈 来 清除 所 有 


了 删除 堆 


ARS Hl 


Ut 
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65 ”在 云 中 创建 一 个 私有 了 网络: 虚拟 私有 云 


通过 创建 一 个 虚拟 私有 云 (virtual private cloud, VPC) ， 用 户 将 


在 AWS 上 得 到 目 己 的 私有 了 网络。 私有 意味 着 用 户 可 以 使 用 地 址 范围 
10.0.0.0/8、172.16.0.0/12 或 192.168.0.0/16 来 设计 一 个 网 络 ， 它 不 一 定 
要 连接 到 公有 互联 网 。 用 户 可 以 创建 子 网 、 路 由 表 、 访 问 控 制 列 表 
(ACL) 以 及 访问 互联 网 的 网 关 或 VPN 端 点 。 


一 个 子 网 可 以 让 用 户 分 离 关 注 点 。 为 用 户 的 数据 库 、 网 站 服务 
a Be a 用 服务 器 ， 或 者 任何 能 分 离 的 两 个 系统 创建 新 的 
子 网 。 男 一 条 经 验 古 用 户 应 该 至 少 有 了 两 个 子 网 ， 即 公 有 子 网 和 私有 了 了 
网 。 ,公有 子 网 和 E 够 路 由 到 互联 网 ， 私 有 子 网 则 不 能 。 用 户 的 网 站 服务 
am MAE BPA, TAP AEE 应 该 在 私有 子 网 中 。 


为 了 理解 VPC 是 如 何 工 作 的 ， Ds 
业 网 站 应 用 。 我 们 将 通过 创建 一 个 只 包含 堡垒 主机 服务 器 的 公有 于 网 
重新 实现 6.4 丰 中 的 堡垒 主机 概念 。 同时 我 们 将 为 网 站 服务 器 创建 一 个 
私有 子 网 且 为 网 站 缓存 创建 一 个 公有 子 网 。 网 站 缓存 将 通过 返回 在 组 
存 中 的 最 新 版 本 页 面 来 吸收 大 多 数 流量 ， J ERP EE Fl BAL A M 网 
° 不 能 直接 从 互联 网 访问 网 站 服务 器 一 一 只 能 通过 网 络 绥 
子 ° 


> 


这 一 VPC 使 用 地 址 空间 10.0.0.0/16。 为 了 分 离 关 注 点 ， 我 们 将 在 这 
个 VPC 中 创建 两 个 公有 子 网 和 一 个 私有 子 网 : 


。 10.0.1.0/24 公 有 SSH 人 堡垒 主机 子 网 ; 
。 10.0.2.0/24 公 有 Varnish 网 络 缓存 子 网 : 
。 10.0.3.0/24 私 有 Apache 网 站 服务 器 子 网 。 


10.0.0.0/16 表 示 所 有 10.0.0.0 至 10.0.255.255 之 间 的 也 地 址 。 它 使 用 
前 面 介 绍 过 ) 。 


了 CIDR 标 记 法 (本 章 


网 络 ACL 像 防火 墙 那 样 限制 流量 从 一 个 子 网 流 同 男 一 个 子 网 。6.5 
节 中 的 SSH 堡 垒 主机 可 以 使 用 下 面 这 些 ACL 来 实现 。 


。 从 0.0.0.0/0 到 10.0.1.0/24 的 SSH 是 被 允许 的 。 
e 从 10.0.1.0/24 到 10.0.2.0/24 的 SSH 是 被 允许 的 。 
。 从 10.0.1.0/24 到 10.0.3.0/24 的 SSH 是 被 允许 的 。 


要 允许 网 络 流量 到 Varnish 网 络 缓存 及 HTTP 服务 器 ， 需 要 额外 的 
ACL ° 


e 从 0.0.0.0/0 到 10.0.2.0/24 的 HTTP 是 被 允许 的 。 
。 从 10.0.2.0/24 到 10.0.3.0/24 的 HTTP 是 被 允许 的 。 


图 6-7 展 示 了 这 一 VPC 的 架构 。 


互联 网 
< 
&> 10.0.0.0/16 | 
2 10.0.1.0/24 i 2 10.0.2.0/24 
E Varnish 
a5 
=] 
el 
路 由 表 
图 6-7 有 3 个 子 网 来 保护 网 站 应 用 安全 的 VPC 


我 们 将 使 用 CloudFormation 来 撒 述 VPC 和 内 部 的 子 网 。 在 本 书 中 
为 了 使 其 更 好 地 人 被 理解 ， 这 一 模板 被 分 割 成 若干 小 块 。 读 者 同样 可 以 
在 本 书 的 源 代码 中 找到 相应 的 代码 。 这 个 模板 位 于 /chapter6/vpc.json ° 


6.5.1 创建 VPC 和 IGW 


这 个 模板 中 的 第 一 个 资源 是 VPC 和 IGW (Internet Gateway) ° 
IGW 会 使 用 网 络 地 址 转换 (network address translation，NAT) 把 虚拟 
服务 器 的 公有 IP 地 址 转换 成 它们 的 私有 IP 地 址 。 这 个 VPC 里 的 所 有 公 
有 IP 地 址 都 由 这 个 IGW 控 制 : 


"YPC": { 
"Type": "AWS::EC2::VPC", 
"Properties": { 
"CidrBlock": "10.0.0.0/16", -- -地 址 空间 
"EnableDnsHostnames": "true" 
; } 
"InternetGateway": { =- -通过 IGW 访 问 互联 网 并 为 公有 IP 地 址 做 NAT 转换 
"Type": "AWS::EC2::InternetGateway", 
"Properties": { 


ty 
"vPCGatewayAttachment": { 一- -将 网 关 关联 到 VPC 
"Type": "AWS: :EC2::VPCGatewayAttachment"， 
"Properties": { 
"VpcId": {"Ref": "VPC"}, 
"InternetGatewaylId": {"Ref": "InternetGateway"} 
} 
ty 


HE PTR HRS EALE ER 。 
6.5.2 ”定义 公有 堡垒 主机 子 网 


堡垒 主机 子 网 只 有 一 台 机 器 ， 以 保护 SSH 访 问安 全 : 


"SubnetPublicSSHBastion": { 
"Type": "AWS: :EC2::Subnet", 
"Properties": { 


"AvailabilityZone": "us-east-1a", --- 第 11 章 中 将 学 习 
"CidrBlock": "10.0.1.0/24", -- -地址 空间 
"Vpcid": {"Ref": "VPC"} 
} 
ty 
"RouteTablePublicSSHBastion": { < 一- -路 由 表 
"Type": "AWS::EC2::RouteTable", 
"Properties": { 
"VpcId": {"Ref": "VPC"} 
} 
ty 
"RouteTableAssociationPublicSSHBastion": { -- -将 路 由 表 关 联 到 子 网 
"Type": "AWS::EC2::SubnetRouteTableAssociation", 
"Properties": { 
"SubnetId": {"Ref": "SubnetPublicSSHBastion"}, 
"RouteTableId": {"Ref": "RouteTablePublicSSHBastion"} 
} 


ty 
"RoutePublicSSHBastionToInternet": { 
"Type": "AWS::EC2::Route", 
"Properties": { 
"RouteTableId": {"Ref": "RouteTablePublicSSHBastion"}, 
"DestinationCidrBlock": "0.0.0.0/0", =- -将 任何 地 址 
(0.0.0.0/0) 路 由 至 IGW 
"GatewayId": {"Ref": "InternetGateway"} 


ty 
"DependsOn": "VPCGatewayAttachment" 
ty 
"NetworkAclPublicSSHBastion": { ~--ACL 


"Type": "AWS::EC2::NetworkAcl", 
"Properties": { 
"Vpcid" : {"Ref" : "VPC"} 
} 
ty 
"SubnetNetworkAclAssociationPublicSSHBastion": { =--- 将 ACL 与 子 
网 关联 
"Type": "AWS::EC2::SubnetNetworkAclAssociation", 
"Properties": { 
"SubnetId": {"Ref": "SubnetPublicSSHBastion"}, 
"NetworkAclid": {"Ref": "NetworkAc1lPublicSSHBastion"} 
} 
ty 


ACL 定 义 如 下 : 


"NetworkAclEntryInPublicSSHBastionSSH": { =- -人 允许 来 自任 何 地 方 的 入 


站 SSH 
"Type": "AWS::EC2::NetworkAclEntry", 
"Properties": { 
"NetworkAclid": {"Ref": "NetworkAc1lPublicSSHBastion"}, 
"RuleNumber": "100", 
"Protocol": "6", 
"PortRange": { 
"Erom": DD 


"To" 5 oon 
ty 
"RuleAction": "allow", 
"Egress": "false", =- -AŬ 
"CidrBlock": "0.0.0.0/0" 
} 
ty 
"NetworkAclEntryInPublicSSHBastionEphemeralPorts": { 一 - -用 于 短 


TCP/IP 连接 的 临时 端口 
"Type": "AWS::EC2::NetworkAclEntry", 
"Properties": { 
"NetworkAclid": {"Ref": "NetworkAc1lPublicSSHBastion"}, 
"RuleNumber": "200", 
"Protocol": "6", 
"PortRange": { 
"From": "1024", 
"To" : "65535" 
ty 
"RuleAction": "allow", 
"Egress": "false", 
"CidrBlock": "10.0.0.0/16" 
} 
ty 
"NetworkAclEntryOutPublicSSHBastionSSH": { 二 -- 人 允许 从 VPC 出 站 的 SSH 
"Type": "AWS::EC2::NetworkAclEntry", 
"Properties": { 
"NetworkAclid": {"Ref": "NetworkAc1lPublicSSHBastion"}, 
"RuleNumber": "100", 
"Protocol": "6", 
"PortRange": { 
"Erom": "22", 


"To": "22" 
ty 

"RuleAction": "allow", 
"Egress": "true", =- -出 站 


"CidrBlock": "10.0.0.0/16" 


ty 
"NetworkAclEntryOutPublicSSHBastionEphemeralPorts": { 一 - -临时 端 
口 
"Type": "AWS::EC2::NetworkAclEntry", 
"Properties": { 
"NetworkAclid": {"Ref": "NetworkAc1lPublicSSHBastion"}, 
"RuleNumber": "200", 
"Protocol": "6", 
"PortRange": { 
"From": "1024", 
"Tol: "65535" 
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"RuleAction": "allow", 
"Egress": "true", 
"CidrBlock": "0.0.0.0/0" 


安全 组 与 ACL 有 一 个 重要 的 区 别 : 安全 组 是 有 状态 的 ， 而 ACL 则 


没有 。 如 采用 户 人 允许 在 安全 组 上 的 一 个 入 站 端口 ， 那 么 该 入 站 端口 上 
的 请 求 对 应 的 出 站 响应 也 是 被 允许 的 。 安 全 组 规则 将 按 用 户 所 期 望 的 
方式 工作 。 如 采用 户 在 安全 组 上 打开 端口 22， 束 能 通过 SSH 和 连接。 


ACEL 则 不 同 。 如 果 用 户 仅仅 为 子 网 的 ACL 打 开 入 站 端口 22， 仍 然 
不 能 通过 SSH 访 问 。 除 此 之 外 ， 用 户 还 需要 允许 出 站 临时 端口 ， 因 为 
sshd (SSH 守 护 进程 ) 在 端口 22 上 接受 连接 ， 但 却 使 用 临时 端口 与 客 
户 端 通信 。I 临 时 端口 从 范围 1024 至 65535 中 选择 。 


如 果 用 户 想 从 自己 的 子 网 发 起 一 个 SSH 连 接 ， 就 需要 打开 出 站 端 


口 22 且 同时 打开 入 站 临时 端口 。 如 果 对 这 些 都 不 熟悉 ， 应 该 使 用 安全 
组 上 且 在 ACL 层 允许 所 有 。 


6.5.3 ”添加 私有 Apache 网 站 服务 器 子 网 


E 与 堡垒 主机 子 网 关 似 ， hig oer 
网 。 因 此 ， 我 们 跳 过 它 ， 继 续 Apache 网 站 服务 器 的 私有 子 网 : 


"SubnetPrivateApache": { 


"Type": "AWS: :EC2::Subnet", 
"Properties": { 


"AvailabilityZone": "us-east-1a", 
"CidrBlock": "10.0.3.0/24", -- -地 址 空间 
"VpcId" : {"Ref" : "VPC"} 
} 
ty 
"RouteTablePrivateApache": { -- -没有 路 由 到 IGW 


"Type": "AWS::EC2::RouteTable", 
"Properties": { 
"Vpcid" g {"Ref" : "VPC"} 
} 
ty 
"RouteTableAssociationPrivateApache": { 
"Type": "AWS::EC2::SubnetRouteTableAssociation", 
"Properties": { 
"SubnetId": {"Ref": "SubnetPrivateApache"}, 
"RouteTableId": {"Ref": "RouteTablePrivateApache" } 
} 
ty 


公有 子 网 和 私有 子 网 唯一 的 区 别 是 ， 私 有 子 网 不 能 路 由 到 IGW 。 
默认 情况 下 ，VPC 内 的 子 网 之 间 的 流量 总 是 能 被 路 由 的 。 不 能 移 除 子 


网 间 的 路 由 。 如 采 想 阻止 VPC 内 部 子 网 间 的 流量 ， 需 要 使 用 与 子 网 头 
联 的 ACL ° 


6.5.4 TM Passes 


子 网 已 经 准备 好 了 ， 我 们 可 以 继续 操作 EC2 实 例 。 首 先 ， 我 们 可 
以 描述 堡垒 主机 : 


"BastionHost": { 
"Type": "AWS::EC2::Instance", 
"Properties": { 
"ImageId": "ami-1ecae776", 
"InstanceType": "t2.micro", 
"KeyName": {"Ref": "KeyName"}, 
"NetworkIinterfaces": [{ 
"AssociatePublicIpAddress": "true", ~- -分 配 一 个 公有 IP 地 址 
"DeleteOnTermination": "true", 


"SubnetId": {"Ref": "SubnetPublicSSHBastion"}, -- -在 堡垒 主 
机 子 网 中 局 动 


"DeviceIndex": "0", 


"GroupSet": [{"Ref": "SecurityGroup"}] =- -安全 组 允许 所 有 
}] 


Varnish 服 务 絮 看 上 去 与 此 类 似 。 但 是 ， 私 有 Apache 网 站 服务 器 的 
配置 有 所 不 同 : 


"ApacheServer": { 
"Type": "AWS::EC2::Instance", 
"Properties": { 
"ImageId": "“ami-1ecae776", 
"InstanceType": "t2.micro", 
"KeyName": {"Ref": "KeyName"}, 
"NetworkInterfaces": [{ 
"AssociatePublicIpAddress": "false", ---JESAIP 地 址 : 私有 


"DeleteOnTermination": "true", 
"SubnetId": {"Ref": "SubnetPrivateApache"}, ~- -在 Apache fk 
Sit A Pao 
"DeviceIndex": "0", 
"GroupSet": [{"Ref": "SecurityGroup"} ] 
}] 
"UserData": {"Fn::Base64": {"Fn::Join": ["", [ 
"#!/bin/bash -ex\n", 
"yum -y install httpd24-2.4.12\n", -- -从 互联 网 安装 Apache 
"service httpd start\n" 


]]}} 
t 


现在 有 一 个 严重 的 问题 : 安装 Apache 不 起 作用 ， 因 为 私有 子 网 不 
能 路 由 到 互联 网 。 


6.5.5 ”通过 NAT 服 务 硕 从 私有 于 网 访问 互联 网 


公有 子 网 能 路 由 到 互联 网 网 天 。 用 户 能 够 使 用 类 似 的 机 制 来 提供 
私有 子 网 访问 互联 网 而 不 需要 直接 路 由 到 互联 网 ， 在 公有 子 网 中 使 用 
一 个 NAT 服 务 右 ， 并 且 创 建 一 条 从 用 户 的 私有 子 网 到 NAT 服 务 铸 的 路 
由 。 一 台 NAT 服 务 器 就 古 一 人 台 用 来 处 理 网 络 地 址 转换 的 虚拟 服务 器 。 
尸 的 私有 子 网 的 互联 网 流量 将 从 NAT 服 务 絮 的 公有 JP 地 址 访问 
aE] o 


从 用 户 的 EC2 实 例 到 通过 API (Object Store S3，NoSQL 数 据 库 DynamoDB) 访问 的 其 
他 AWS 服 务 的 流量 将 通过 NAT 实 例 。 这 很 快 会 成 为 一 个 主要 的 瓶颈 。 如 果 用 户 的 EC2 实 
需要 大 量 与 互联 网 通信 ，NAT 实 例 可 能 并 不 是 一 个 好 主意 。 相 反 ， 应 该 考虑 在 公有 子 网 
启动 这 些 实例 。 


a=) 


为 了 保持 关注 点 分 离 ， 我 们 将 为 NAT 服 务 器 创建 一 个 新 的 子 网 。 
AWS 提 供 了 一 个 已 经 为 用 户 配置 好 了 的 虚拟 服务 器 映像 (AMI) : 


"SubnetPublicNAT": { 
"Type": "AWS::EC2::Subnet", 
"Properties": { 
"AvailabilityZone": "us-east-1a", 
"CidrBlock": "10.0.0.0/24", —--10.0.0.0/24 是 NAT 子 网 


"VpcId": {"Ref": "VPC"} 


ty 
"RouteTablePublicNAT": { 
"Type": "AWS::EC2::RouteTable", 
"Properties": { 
"VpciId": {"Ref": "VPC"} 


ty 


"RoutePublicNATToInternet": { <--NAT 子 网 是 公有 的 能 路 由 到 互联 网 

"Type": "AWS::EC2::Route", 

"Properties": { 
"RouteTableId": {"Ref": "RouteTablePublicNAT"}, 
"DestinationCidrBlock": "0.0.0.0/0", 
"GatewaylId": {"Ref": "InternetGateway"} 

ty 

"DependsOn": "VPCGatewayAttachment" 
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"NatServer": { 


"Type": "AWS::EC2::Instance", 
"Properties": { 
"TmageId": "ami-303b1458", ---AWS 提供 了 配置 好 的 NAT 实例 映像 
"InstanceType": "t2.micro", 
"KeyName": {"Ref": "KeyName"}, 
"NetworkInterfaces": [{ 


"AssociatePublicIpAddress": "true", -- -公有 IP 地 址 将 会 是 所 有 
私有 子 网 到 互联 网 的 流量 的 源 地址 
"DeleteOnTermination": "true", 
"SubnetId": {"Ref": "SubnetPublicNAT"}, 
"DeviceIndex": "0", 
"GroupSet": [{"Ref": "SecurityGroup"} ] 
}], 
"SourceDestcheck": "false" ~- -默认 情况 下 ， 一 个 实例 必须 是 它 发 送 的 
网 路 流量 的 源 或 目的 地 。 对 NAT 实例 禁用 此 检查 
ty 


"RoutePrivateApacheToInternet": { 
"Type": "AWS::EC2::Route", 
"Properties": { 
"RouteTableId": {"Ref": "RouteTablePrivateApache"}, 
"DestinationCidrBlock": "0.0.0.0/0", 
"InstanceId": {"Ref": "NatServer"} ~- -从 Apache 子 网 路 由 到 NAT 


现在 我 们 已 经 为 使 用 位 于 
https://s3.amazonaws.com/awsinaction/chapter6/vpc.json 的 模板 创建 
CloudFormation 堆 栈 做 好 了 准备 。 一 旦 完成 了 这 项 工作 ， 复 制 
VarnishServerPublicName 输出 并 在 浏览 器 中 打开 。 我 们 将 看 见 
一 个 Varnish 缓 存 的 Apache 测 试 页 面 。 


ERT 


Or 


A SRA Allies T AA ER HEROR TS BRAT a AY SU, UU AIR) BE Ze AKE AK EE 
源 被 收取 费用 。 


6.6 小结 


。 AWS 是 一 个 责任 共 担 的 环境 ， 在 这 个 环境 中 只 有 用 户 和 AWS 一 起 
工作 才能 达到 安全 。 用 户 负 责 安全 的 配置 自己 的 AWS 资 源 以 及 自 
己 在 EC2 实 例 上 运行 的 软件 ， 与 此 同时 AWS 保 护 建 筑 物 和 主机 系 


统 。 
使 自己 的 软件 保持 最 新 是 关键 ， 这 样 才 可 以 被 自动 化 。 

IAM 服 务 通过 AWS API 提 供 身份 认证 和 授权 所 需要 的 一 切 。 每 一 
个 用 户 用 AWS API 发 出 的 请 求 都 通过 IAM 检 查 其 是 否 被 多 许 。 
IAM 控 制 在 使 用 者 的 AWS 账 户 中 谁 可 以 做 什么 。 给 自己 的 用 户 和 
角色 授予 最 小 的 权限 可 以 保护 自己 的 AWS 账 户 。 

发 送 到 或 来 自 像 EC2 实 例 这 样 的 AWS 资 源 的 网 络 流量 ， 在 安全 组 
的 帮助 下 可 以 根据 协议 、 端 口 以 及 源 和 目的 地 进行 筛选 。 

一 台 堡 又 主机 是 访问 用 户 操 作 系 统 的 一 个 入 口 。 它 可 以 用 来 保护 
对 服务 器 的 SSH 访 问 ， 可 以 使 用 安全 组 或 ACL 来 实现 。 

VPC 是 AWS 里 用 户 拥 有 完全 控制 的 私有 网 络 。 使 用 YPC， 能 够 控 
L a 
xx] ZS o 

应 该 在 网 络 中 分 离 关注 点 来 减少 潜在 的 损失 。 例 如 ， 把 所 有 不 需 
要 被 公有 互联 网 访问 的 系统 放 在 私有 子 网 中 ， 这 样 即 使 用 户 的 某 
一 个 子 网 被 攻破 了 ， 也 可 以 减少 可 被 攻击 的 面 。 


第 三 部 分 “在 云 上 保存 数据 


设想 一 下 你 的 办 公 室 里 有 个 叫 独行 侠 的 家 伙 ， 他 对 文件 服务 器 了 
如 指 掌 。 如 有 果 独 行 侠 不 在 办 公 室 ， 没 人 能 维护 文件 服务 器 。 当 他 休假 
时 ， 如 有 果 刚 好 文件 服务 器 宕 机 ， 而 领导 义 需 要 与 上 拿 到 文档 ， 否 则 公 
司 藉 会 损失 一 大 笔 钱 的 话 一 一 麻烦 大 了 ， 因 为 没 人 会 知道 备份 存放 在 
哪 。 如 采 独 行 侠 把 他 的 知识 存在 数据 库 里 ， 同 事 们 束 可 以 查看 到 文件 
服务 器 的 相关 信息 。 但 十 现在 文件 如 何 存储 的 信息 和 独行 侠 紧 糊 合 在 
一 起 ， 就 可 能 无 法 获取 到 需要 的 文件 。 


现在 设想 一 下 服务 器 上 有 一 些 重 要 的 文件 存在 本 地 磁 副 上 。 服 务 
妖 正 常 运行 时 一 切 都 好 。 但 是 机 器 不 时 会 出 故障 一 一 终 有 一 天 它们 会 
坏 掉 。 服 务 右 也 是 如 此 。 如 琳 用 户 在 自己 的 网 站 上 传 一 个 文件 ， 这 文 
件 会 存储 在 哪里 ? 很 有 可 能 吏 保 存在 服务 万 的 本 地 人 磁 一 上 “。 但 十 假 设 
上 传 到 网 站 的 文档 ， 以 一 个 对 象 的 方式 持久 化 保存 在 独立 于 服务 右 的 
存储 上 会 怎样 2 如 有 果 网 站 服务 器 发 生 故 障 ， 用 户 仍 然 可 以 访问 到 该 文 
档 。 如 果 需 要 两 台 服 务 器 来 承担 网 站 的 负载 ， 因 为 存储 没有 紧 耦 合 在 
一 台 服 务 右 上 ， 所 以 它们 两 个 都 可 以 访问 到 文档 。 只 要 应 用 的 状态 信 
思 存 储 在 服务 硕 以 外 的 地 方 ， 用 户 的 系统 殉 具 备 了 容错 性 和 弹性 。 一 
些 高 度 专 业 化 的 解决 方案 ， 如 对 象 存 储 和 数据 库 ， 束 可 以 帮助 持久 化 
地 存储 应 用 状态 。 


第 7 章 介绍 S3， 一 个 对 象 存储 的 服务 。 读 者 将 了 解 到 如 何 集成 对 
象 存储 到 应 用 程序 中 ， 以 实现 一 个 无 状态 的 应 用 。 第 8 章 讨 论 AWS 的 
虚拟 机 使 用 的 块 存储 ， 以 及 如 何 把 传统 的 应 用 程序 部 署 在 块 存储 上 。 
第 9 章 介绍 RDS， 一 个 托管 的 数据 库 服务 ， 它 支持 像 Oracle、MySQL 、 
PostgreSQL 和 Microsoft SQL Server 这 样 的 数据 库 引 警 。 如 果 应 用 需要 
数据 库 ， 使 用 它 可 以 很 轻松 地 实现 无 状态 的 架构 。 第 10 章 介绍 
DynamoDB， 一 个 提供 NoSQL 数 据 库 的 服务 。 用 户 可 以 把 NoSQL 数 据 
库 集 成 到 应 用 里 来 实现 无 状态 的 应 用 服务 器 。 


第 7 章 ”存储 对 象 : S3 和 Glacier 


本 章 主要 内 容 


。 使 用 Terminal 终 端 传输 文件 到 S3 

。 使 用 SDK 集 成 S3 到 用 户 的 应 用 程序 
。 使 用 S3 服 务 静 态 的 Web 站 点 

。 全 究 S3 对 象 存 储 的 内 部 机 制 


对 象 存储 可 以 帮助 用 户 存 储 图 片 、 视 频 、 文 档 和 可 执行 文件 。 本 
章 我 们 将 了 解 对 象 存 储 的 基本 概念 。 男 外 ， 本 章 还 会 介绍 AWS 提 供 的 
对 象 存储 服务 Amazon S3， 以 及 备份 和 归档 的 存储 服务 Amazon 


glacier ° 


本 章 中 的 示例 不 都 包含 在 免费 套餐 中 。 当 一 个 示例 会 产生 费用 时 ， 
消息 。 只 要 不 是 运行 这 些 示例 好 几 天 ， 就 不 需要 支付 任何 费用 


记 住 , 
BAS een | 创建 的 全 新 AWS 账 户 ， 并 且 在 这 个 AWS 账 户 里 没有 : 他 活 
本 革 中 的 示例 ， 在 每 个 示例 完成 后 务必 清理 账户 。 


7.1 对 象 存 储 的 概念 


以 前 ， 数 据 以 文件 的 形式 在 层级 的 目录 和 文件 中 进行 管理 。 文 件 

是 数据 的 表现 形式 。 在 对 象 存 储 里 ， 数 据 存储 为 对 象 。 每 个 对 象 由 一 

个 全 球 唯 一 的 标识 符 、 元 数据 和 数据 本 身 组 成 ， 如 图 7-1 所 示 。 对 象 的 

全 球 唯一 标识 符 也 称 为 键 ， 有 了 这 个 全 球 唯 一 的 标识 符 ， 我 们 才 有 可 
能 使 用 分 布 式 系统 中 的 不 闻 设 备 和 机 器 访问 每 个 对 象 。 


元 数据 和 数据 的 分 离 使 客户 可 以 直接 操作 元 数据 来 管理 和 查询 数 
据 。 在 必要 的 时 候 才 需要 加 载 数 据 本 映 。 元 数据 还 用 来 存储 访问 权限 
言 轧 和 其 他 管理 任务 。 


a ÈD 


全 局 唯一 标志 符 /awsinaction/img/cloud.png 
元 数据 _ 数据 一 元 数据 _ i 
访问 控制 HTML 和 CSS 公开 读 
文件 类 型 i 图 片 /png 格 式 
标 JSON 云 、 自 然 景 观 
大 小 可 执行 文件 20 KB 
创建 时 间 大 型 二 进 制 对 象 2015-01-01 
< 4 


图 7-1 对 象 存 储 中 存放 的 对 象 包 含 3 个 部 分 : 一 个 对 象 ID、 描述 内 容 的 元 数据 和 内 容 本 
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7.2 Amazon S3 


Amazon S3 是 AWS 最 古老 的 服务 之 一 。Amazon $37Amazon 
Simple Storage Service 的 简称 。 它 是 一 个 典型 的 Web 服 务 ， 让 用 户 可 以 
通过 HTTPS 和 API 来 存储 和 访问 数据 。 


这 个 服务 提供 了 无 限 存储 空间 ， 并 且 让 用 户 的 数据 高 可 用 和 高 度 
持久 化 的 保存 。 用 户 可 以 保存 任何 类 型 的 数据 ， 如 图 片 、 文 档 和 二 进 
制 文件 ， 只 要 单个 对 象 的 容量 不 超过 5TB 容 量 。 用 户 需要 为 保存 在 S3 
的 每 GB 的 容量 付费 ， 同 时 还 有 少量 的 成 本 花费 在 每 个 数据 请 求 和 数据 
传输 流量 上 。 如 图 7-2 所 示 ， 可 以 通过 管理 控制 台 使 用 HTTPS 协 议 访问 
通过 命令 行 工具 (CLI) 、SDK 和 第 三 方 工具 来 上 传 和 下 载 对 


© 上 传 /下 载 一 个 对 象 
H. — y 


用 户 Amazon S3 


图 7-2 ”通过 HTTPS 上 传 和 下 载 对 象 


S53 使 用 存储 桶 组 织 对 象 。 存 储 桶 是 对 象 的 容器 。 用 户 可 以 创建 最 
多 100 个 存储 桶 ， 每 个 存储 桶 都 有 全 球 唯一 的 名 字 。 我 指 的 是 真正 独 一 
无 二 的 名 字 一 一 用 户 必 须 选 择 一 个 没有 被 其 他 AWS 客 户 在 任何 其 他 区 
域 使 用 过 的 存储 桶 的 名 字 ， 所 以 建议 选择 域名 (如 com.mydomain.* 
) 或 者 公司 名 称 作为 存储 桶 名 的 前 级 。 图 7-3 解 释 了 这 个 概念 。 


典型 的 使 用 场景 如 下 。 


。 使 用 3 和 AWS CLI 来 备份 和 恢复 文件 。 

。 归档 对 象 到 Amazon Glacier 比 归档 到 S3 更 节省 成 本 。 

。 使 用 AWS SDK 集 成 Amazon S3 到 应 用 程序 里 ， 以 保存 和 读 取 像 图 
片 这 样 的 对 象 。 

。 在 S3 帮 助 下 上 托管 静态 网 站 内 容 ， 让 所 有 人 都 可 以 访问 。 


存储 桶 
名 称 : awsinaction 


图 7-3”S3 使 用 全 球 唯 一 命名 的 存储 桶 来 组 织 对 象 


7.3 备份 用 户 的 数据 


天 键 效 据 需要 及 时 备份 来 避免 丢失 。 根 据 业 务 要 求 ， 用 户 可 能 需 
要 备份 数据 到 多 个 设备 或 者 到 另外 一 个 站 总。 用户 可 以 把 任何 数据 以 
对 象 的 形式 保存 在 S3， 这 样 束 可 以 把 S3 当 作 备份 存储 使 用 。 


在 本 节 中 ， 读 者 将 了 解 如 何 使 用 AWS CLI 命 令 行 工 具 来 上 传 数据 
和 从 S3 下 载 数据 。 这 种 方法 不 仅 限于 备份 的 使 用 场景 ， 其 他 任何 场景 
都 可 以 使 用 命令 行 工具 。 


首先 需要 为 数据 创建 一 个 S3 存 储 彬 。 像 之 前 提 到 的 那样 ， 存 储 根 
的 名 字 必 须 避 免 和 其 他 存储 桶 神 突 ， 包 括 其 他 AWS 客 户 在 其 他 区 域 的 
S3 存 储 棚 。 在 终端 输入 下 面 的 命令 行 ， 符 换 $YourName 为 用 户 的 名 


PS 


F: 


$ aws s3 mb s3://awsinaction-$YourName 


所 使 用 的 命令 应 该 和 下 面 的 命令 看 上 去 差不多 : 


$ aws s3 mb s3://awsinaction-awittig 


如 采用 户 的 存储 棚 名 和 已 有 的 存储 棚 冲 突 ， 会 看 到 下 面 的 报错 信 


A client error (BucketAlreadyExists) [...] 


在 这 个 例子 中 ， 和 需要 使 用 一 个 不 同 的 $YourName 。 


现在 一 切 就 绪 ， 我 们 可 以 上 传 自己 的 数据 了 。 选 择 一 个 我 们 想 要 
备份 的 日 录 ， 如 桌面 目录 。 尺 量 选择 一 个 合适 的 目录 ， 其 中 的 文件 大 
小 不 超过 1 GB， 并 昌文 件数 量 少 于 1000 个 ， 这 样 既 不 需要 等 太 长 时 
间 ， 也 不 会 超出 免费 试用 的 用 量 。 使 用 下 面 的 命令 从 本 地 的 目录 上 传 
数据 到 S3 存 储 桶 。 将 $Path 替换 为 我 们 的 目 孙 路 径 ， 将 $YourName 
BAKAP EZF ° Sync 命令 比较 目 孙 和 S3 存 储 桶 里 的 /backup 目 
录 ， 然 后 只 上 传 新 的 或 者 修改 过 的 文件 : 


$ aws s3 sync $Path s3://awsinaction-$YourName/backup 


所 使 用 的 命令 应 该 看 上 去 和 下 面 的 类 似 : 


$ aws s3 sync /Users/andreas/Desktop s3://awsinaction- 
awittig/backup 


根据 目录 的 文件 容量 和 互联 网 连接 的 具体 情况 ， 上 传 可 能 会 花费 
不 等 的 时 间 。 


在 文件 上 传 至 S3 存 储 桶 备份 后 ， 可 以 测试 恢复 流程 。 在 终端 执行 
下 面 的 命令 ， 将 $Path 替换 为 希望 用 来 恢复 的 目录 (不 要 使 用 用 来 备 
份 的 目录 ) ， 并 且 将 $YourName 替换 为 自 定义 的 名 字 。 下 载 目 录 通 
常 很 合适 用 来 测试 恢复 流程 : 


cI 


$ aws s3 cp --recursive s3://awsinaction-$YourName/backup $Path 


所 使 用 的 命令 应 该 和 下 面 的 类 似 : 


$ aws s3 cp --recursive s3://awsinaction-awittig/backup/ \ 


/Users/andreas/Downloads/restore 


同样 ， 根 据 文件 的 容量 和 互联 网 连接 的 具体 情况 ， 下 载 可 能 会 化 
一 段 时 间 。 


的 版 林 


默认 情况 下 ，S3 存 储 桶 禁用 了 版 本 功能 。 假 设 使 用 
(1) 添加 一 个 对 象 ， 主 键 A 和 数据 1。 
(2) 添加 一 个 对 象 ， 主 键 A 和 数据 2。 


如 果 进 行 下 载 ， 也 就 是 get 操 作 ， 获 取 主 键 为 A 的 对 象 ， 将 下 载 到 数据 2。 旧 的 数据 1 将 
不 再 存在 。 


读者 可 以 为 存储 桶 激活 版 本 功能 来 保护 数据 。 下 面 的 命令 为 存储 桶 激活 版 本 保护 。 请 
蔡 换 $YourName 为 自己 的 名 字 : 


=F 


芷 的 步骤 上 传 了 两 个 对 象 。 


$ aws S3api put-bucket-versioning --bucket awsinaction-$YourName \ 


--versioning-configuration Status=Enabled 


如 果 重 复 之 前 的 步骤 ， 即 使 在 添加 了 主键 A 和 数据 2 的 对 象 之 后 ， 也 可 以 访问 到 对 象 A 
的 第 一 个 版 本 的 数据 1。 下 面 的 命令 获取 所 有 对 象 和 版 本 : 


$ aws s3api list-object-versions --bucket awsinaction-$YourName 


可 以 下 载 一 个 对 象 的 所 有 版 本 。 


版 本 在 备份 和 规定 的 场景 中 非常 有 用 。 记 住 ， 需 要 付费 的 存储 桶 的 容量 将 随 着 新 版 本 
的 增加 而 增加 。 


我 们 不 需要 担心 丢失 数据 。S3 设 计 为 每 年 99.999999999% 的 持久 
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读者 要 执行 下 面 的 命令 来 移 除 包 涵 所 有 备份 对 象 的 S3 存 储 桶 。 读 者 需要 替换 
$YourName 为 自己 的 名 字 来 选择 正确 的 存储 桶 。rb 命令 移 除 存储 桶 ，force 选项 将 在 删 
除 存储 桶 之 前 ， 强 制 删除 桶 里 面 的 每 个 对 象 : 


$ aws s3 rb --force s3://awsinaction-$YourName 


用 的 命令 应 该 和 下 面 的 命令 类 似 : 


$ aws s3 rb --force s3://awsinaction-awittig 


完成 了 ! 我 们 已 经 使 用 CLI 命 令 行 工具 上 传 和 下 载 文件 。 


ma 
fati 


如 果 激 活 了 存储 桶 的 版 本 功能 ， 删 除 存储 桶 时 将 报错 BucketNotEmpty。 这 种 情况 下 请 
呈 用 管理 控制 台 来 删除 存储 桶 。 


1) 在 浏览 器 中 打开 管理 控 山 


从 主页 面 导航 至 S3 服 务 页 
选择 存储 桶 。 
从 “操作 ? 子 来 单 中 执行 “删除 存储 桶 ”的 操作 。 


7.4 ”归档 对 象 以 优化 成 本 


在 前 一 部 分 我 们 使 用 S3 来 备份 数据 。 如 果 希 望 降低 备份 存储 的 成 
本 ， 应 该 考虑 使 用 另 一 个 AWS 服 务 Amazon Glacier。 在 Glacier 中 存储 
数据 的 成 本 大 概 是 $S3 中 的 1/3。 但 是 ， 它 们 有 哪些 区 别 呢 ? 表 7-1 展 示 
了 S3 和 Glacier 的 区 别 。 


表 7-1 使 用 S3 和 Glacier 存 储 数据 的 区 别 


| — 

每 GB 容量 
每 GB 容量 
3 1 
— ia 


i i 立即 可 以 访问 在 提交 请 求 3~5h 后 
持久 性 | 设计 为 年 度 99.999999999% 的 数据 | 设计 为 年 度 99.99999999996 的 数 
持久 性 持久 性 


用 户 可 以 通过 HTTPS 直 接 使 用 Glacier 服 务 ， 或 者 集成 S3 一 起 使 
用 ， 就 像 下 面 的 例子 展示 的 一 样 。 


7.4.1 创建 S3 存 储 桶 配合 Glacier 使 用 


在 本 部 分 ， 读 者 将 了 解 如 何 集 成 S3 和 Glacier 来 降低 存储 数据 的 成 
本 。 如 果 有 异地 数据 备份 的 需求 ， 这 将 很 有 帮助 。 首 先 需 要 创建 一 个 
新 的 S3 存 储 桶 。 
(1) 打开 管理 控制 台 。 
(2) 从 主 菜 单 中 转移 到 S3 服 务 页 面 。 
(3) 点 击 “ 创 建 存储 桶 ”按钮 。 


agit, ERANA, SRE Ae RAAB ME 
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(5) 点 击 “ 创 建 " 按 钮 。 


区 域 


美国 东部 (弗吉尼亚 北部 ) ~ 


从 现 有 存储 桶 复制 设置 


图 7-4 ”使 用 管理 控制 台 创建 $3 存 储 桶 


7.4.2 ”添加 生命 周期 规则 到 存储 桶 


可 以 添加 一 条 或 者 多 条 生命 周期 规则 到 存储 桶 ， 以 管理 对 象 的 生 
命 周 期 。 生 命 周 期 规则 可 以 用 来 在 给 定 的 日 期 之 后 归档 或 者 删除 对 
象 ， 它 还 可 以 帮助 把 S3 的 对 象 归档 到 Glacier 。 


添加 一 条 生命 周期 规则 来 移动 对 象 到 Glacier， 参 照 下面 的 具体 步 
Ik o 


(1) 在 管理 控制 台 打 开 S3 服 务 页 面 。 

(2) 点 击 进入 创建 的 存储 桶 ， 并 选择 “管理 ”。 

(3) 在 “管理 ”标签 栏 的 下 方 ， 点 击 “ 添 加 生命 周期 规则 ”按钮 ， 如 
图 7- 5 记 示 。 


Glacier 不 包含 在 免费 试用 内 。 本 示例 将 造成 一 些 成 本 花费 。 如 果 想 了 解 更 多 现在 的 定 
价 信息 ， 可 访问 AWS 官 方 网 站 。 


Amazon S3 > aws-inaction-cn 


+ 添加 生命 周期 规则 


[sb 


使 用 生命 周期 规则 来 管理 对 象 


您 可 以 使 用 生命 周期 规则 来 管理 对 象 的 生命 周期 ， 此 规则 定义 了 
Amazon S3 如 何在 对 象 的 生命 周期 内 管理 对 象 。 


THES 


图 7-5 ”添加 生命 周期 管理 规则 来 自动 移动 对 象 到 Glacier 


将 弹出 一 个 向 导 帮 助 为 存储 桶 创建 新 的 生命 周期 管理 规则 。 第 一 
步 是 选择 生命 周期 规则 的 目标 ， 输 入 规则 名 称 为 nove-to-glacier 
， 在 筛选 条 件 文本 框 保 持 空 掉 ， 以 将 生命 规则 应 用 到 整个 存储 桶 ， 如 
图 7-6 所 示 ， 并 点 击 “ 下 一 步 ”。 


生命 周期 规则 


Q) 名 称 和 范围 


输入 规则 名 称 


move-to-glacier 


添加 用 于 限制 前 缀 /标签 范围 的 第 选 条 件 


键入 以 添加 前 缉 / 标 签 筛选 条 件 


图 7-6 ”选择 生命 周期 规则 的 目标 


下 一 步 是 配置 生命 周期 规则 。 选 择 “ 当 前 版 本 "为 配置 转换 的 目 
标 ， 并 点 击 “ 添 加 转换 ”， 接 着 选择 “转换 到 Glacier 前 经 过 .……”。 为 了 
尽快 触发 生命 周期 规则 来 让 对 象 一 旦 创建 就 归档 ， 选 择 在 对 象 创建 0 天 
后 进行 转换 ， 如 图 7-7 所 示 。 连 续 点 击 “ 下 一 步 * 进 入 向 导 的 最 后 一 步 。 


生命 周期 规则 


© 名 称 和 范围 (2) 转换 (3) 过 其 


配置 转换 


当前 版 本 ”图 ”先前 版 本 
对 于 对 象 的 当前 版 本 


对 象 创建 对 象 创建 之 后 的 天 数 


转换 到 Amazon Glacier 前 经 过 ... v ld | x 


图 7-7 ”选择 生命 周期 规则 的 时 间 


另外 ， 如 图 7-8 所 示 检 查 规则 的 细节 。 如 果 一 切 都 没有 问题 ， 点 
击 “ 保 存 ” 按 钮 。 


生命 周期 规则 


© 名 称 和 范围 (v en @ id 


名 称 和 范围 


名 称 ”move-to-glacier 


范围 整个 存储 桶 


转换 
对 于 对 象 的 当前 版 本 
转换 到 Amazon Glacier 经 过 的 时 间 0 天 


过 期 


检查 规则 move-to-glacier。 它 包含 重 登 的 前 缀 。 


图 7-8 保存 S3 存 储 桶 的 生命 周期 规则 


7.4.3 ”测试 Glacier 和 生命 周期 规则 


我 们 已 经 成 功 地 创建 了 生命 周期 管理 规则 ， 它 将 目 动 把 对 象 从 S3 
存储 桶 移动 至 Glacier 。 


移动 对 象 到 Glacier 大 概 会 花费 24h 左 右 的 时 间 。 从 Glacier 恢 复数 据 到 S3 大 概 需 要 3~ 
， 所 以 读者 尽 可 以 继续 阅读 本 书 ， 而 无 须 执 行 上 面 的 示例 。 


打开 存储 桶 ， 在 管理 控制 台 点 击 “ 上 传 ” 来 上 传 文件 到 存储 桶 。 在 
7-9 中 ， 我 们 已 经 上 传 了 3 个 文件 到 Ss3。 默 认 情 况 下 ， 所 有 文件 都 保 
存在 “标准 "存储 类 别 ， 意 味 着 它们 目前 保存 在 S3 中 。 


启动 导航 ， 下 载 文件 存储 在 S3 上 ， 等 待 被 移 到 Gilacier 
Q 键入 前 缀 并 按 输入 来 搜索 。 按 ESC 可 清除 
+ la 文人 天 ES 美国 东部 (AARM) 2 
正在 查看 1 到 3 
O am 上 次 修改 时 间 t= 存储 类 别 
一 2017 年 9 月 2 日 下 午 = 
O B documen t1 .txt Ga 标准 
[| B document2.txt 2017 年 9 月 2 日 FF 1.5 KB 标准 
O  documents3.txt aut ZF TF 1.5 KB 标准 
正在 查看 1 到 3 


图 7-9 生命 周期 规则 将 在 几 小 时 后 移动 对 象 到 Glacier 


生命 周期 规则 将 移动 对 象 到 Glacier。 但 是 ， 即 使 把 时 间 设 为 0 天 ， 
移动 过 程 仍然 会 需要 24h 左 右 。 在 对 象 移动 到 Glacier 之 后 ， 存 储 类 别 会 
切换 为 Glacier ° 


用 户 无 法 直接 下 载 存 储 在 Glacier 中 的 文件 ， 但 是 可 以 触发 一 个 恢 
复 过 程 来 从 Glacier 恢 复 对 和 象 到 S3。 参 考 图 7-10 所 示 的 步 又 在 管理 控制 


台 触发 恢复 操作 。 
(1) 打开 S3 存 储 桶 。 
2) 选择 希望 从 Glacier 恢 复 的 对 象 并 点 击 “ 更 多 ”按钮 。 
3) 选择 “局 动 还 原 ”。 


( 

( 

ee rae a ee ager 要 你 留 在 S3 的 天 
数 ， 选 择 要 检索 的 速度 选项 (标准 检索 3 一 5h) ， 如 图 7-10 所 示 。 


(5) 点 击 “ 还 原 ” 来 发 起 恢复 。 
恢复 对 象 大 概 需要 3~5h。 在 恢复 完成 后 ， 可 以 下 载 对 象 。 


E 键入 前 缀 并 按 输 入 来 搜索 。 按 ESC 可 清除 。 
+ axe MEEA 


] 名 称 上 次 修改 时 间 


2017 年 9 月 2 日 下 午 6:47:55 


国 document2.txt 删除 2017 年 9 月 2 日 下 午 6:47:55 


国 document3.txt 取 5 2017 年 9 月 2 日 下 午 6:47:55 


您 必须 选择 受 影响 对 象 @ 了 解 更 
0 个 文件 夹 1 个 对 象 总 共 1 个 对 象 1.5 KB 总 大 小 


指定 您 的 归档 数据 保持 可 访问 状态 的 天 数 
检索 选项 


标准 检索 3 - 5 小 时 v 


Amazon Glacier 会 收取 检索 费 


还 原 的 对 象 具有 标准 存储 类 


图 7-10 从 Glacier 里 恢复 对 象 到 S3 非 常 简单 ， 单 默认 获取 选项 需要 3 一 5h 


a 需要 删除 自己 的 存储 桶 。 从 管理 控制 台 按照 如 下 操作 可 以 完 
删除 。 


在 管理 控制 台 打 开 S3 服 务 。 

点 击 选择 已 经 创建 的 存储 桶 。 

然后 点 击 “ 删 除 存储 桶 ?按钮 。 

在 文本 框 内 输入 存储 桶 名 称 ， 并 点 击 “ 确 认 删 除 ”。 


我 们 已 经 了 解 了 如 何 使 用 CLI 和 管理 控制 台 来 使 用 S3。 接 下 来 我 
们 来 演示 一 下 如 何 通过 SDK 集 成 S3 到 自己 的 应 用 程序 。 


7.5 程序 的 方式 存储 对 象 


S3 可 以 通过 HTTPS 和 API 来 访问 。 这 意味 着 ， 用 户 可 以 集成 S3 到 
应 用 程序 里 ， 用 程序 调用 API 来 提交 请 求 到 S3。 如 采用 户 使 用 的 是 一 
个 常见 的 编程 语言 ， 如 Java、JavaScript、PHP、Python、 Ruby 或 
者 .Net， 就 可 以 人 免费 使 用 AWS 提 供 的 SDK。 在 应 用 程序 里 通过 SDK 的 
帮助 可 以 完成 下 面 的 操作 。 


。 列 出 存储 桶 和 里 面 的 对 象 。 
。 创 建 、 更 新 和 删除 (CRUD) 对 象 和 存储 桶 。 
管理 对 象 的 访问 权限 和 生命 周期 。 


用 户 可 以 在 下 面 的 场景 中 集成 S3 到 应 用 程序 。 


介 许 用 户 上 传 一 个 档案 图 片 * ESSE REAR, MEEI MAA 
访问 。 通 过 HTTPS 集 成 图 片 到 目 己 的 网 站 。 

生成 月 度 报 表 (如 PDF 文 件 ) 并 把 它们 开放 给 用 户 访问 。 创 建文 
档 并 上 传 到 S3。 如 条 用 户 想 要 下 载 文档 ， 从 S3 获 取 这 些 文件 。 
在 不 同 的 应 用 之 间 共 至 数据 。 用 户 可 以 从 不 同 的 应 用 中 访问 文 
档 。 例 如 ， 应 用 A 写 入 最 新 的 销售 信息 到 文档 里 ， 应 用 B 可 以 下 载 
该 文档 并 分 析 数 据 。 


集成 S3 到 应 用 程序 可 以 帮助 实现 无 状态 的 服务 器 的 概念 。 在 本 下 
中 ， 我 们 将 深入 了 解 一 个 简单 的 名 字 叫 Simple S3 Gallery 的 互联 网 应 
用 。 这 个 互联 网 应 用 搭建 在 Node.js 并 且 使 用 面向 JavaScript 和 Node.js 的 
AWS SDK。 因 为 概念 相似 ， 读 者 可 以 轻松 地 把 本 部 分 学 到 的 东西 转移 
到 其 他 编程 语言 。 图 7-11 展 示 了 Simple S3 Gallery 的 图 形 界 面 。 我 们 现 
在 设置 53 来 开始 搭建 。 


Simple S3 Gallery 
Upload 


Browse... No file selected. 


Upload 


Images 


图 7-11 Simple S3 Gallery 的 应 ) Re 图 片 到 S3 存 储 桶 ， 然 后 从 存储 桶 下 载 来 展示 图 


7.5.1 RESZEM 


开始 ， 用 户 需 要 创建 一 个 空 的 存储 桶 。 执 行 下 面 的 命令 ， 替 换 
$YourName 为 用 户 的 名 字 或 者 昵称 : 


$ aws s3 mb s3://awsinaction-sdk-$YourName 


AP aN CAE ef T° Re ae GRD ° 


7.5.2 ”安装 使 用 S3 的 互联 网 应 用 


读者 可 以 在 本 书 的 代码 目录 里 的 /chapter7/gallery/ 找到 
Simple S3 Gallery 的 代码 。 切 换 到 该 目录 ， 在 终端 运行 npm install 
安装 所 有 的 依赖 包 。 


要 运行 Web 应 用 ， 需 要 运行 下 面 的 命令 。 将 $YourName 替换 为 用 
户 的 名 字 ， 将 S3 的 存储 桶 名 传递 给 web 应 用 程序 : 


$ node server.js awsinaction-sdk-$YourName 


启动 服务 器 后 ， 使 用 浏览 器 访问 http:/localhost:8080 打 开 Gallery 应 
用 。 试 着 上 传 一 张 狐 图 片 。 


75.3 ”检查 使 用 SDK 访 问 S3 的 代码 


我 们 已 经 看 到 Simple S3 Gallery 如 何 上 传 和 显示 在 S3 的 图 片 。 查 看 
一 下 部 分 代码 将 有 助 于 了 解 怎 样 才能 集成 S3 到 应 用 程序 。 如 有 果 无 法 完 
全 理解 编程 语言 (JavaScript) 和 Node.js 平 台 的 实现 细节 ， 这 没有 关 
系 ， 只 要 大 概 了 解 如 何 通过 SDK 使 用 S3 即 可 。 


1. 上 传 一 个 图 片 到 S3 


用 户 可 以 调用 S3 服 务 SDK 中 的 putobject( ) 方法 来 上 传 一 个 图 
片 。 应 用 程序 将 连接 到 S3 服 务 并 且 使 用 HTTPS 协 议 来 传输 图 片 。 代 码 
清单 7-1 列 出 如 何 完成 这 些 操作 。 


代码 清单 7-1 使 用 AWS SDK 上 传 图 片 到 S3 


used 
var AWS = require("aws-sdk"); ~- -插入 AWS SDK 


[ss 
var s3 = new AWS.S3({"region": "us-east-1"}); -- -配置 AWS SDK 


var bucket = "[...]"; 


function uploadImage(image, response) { 
var params = { ~-- 上 传 图 片 的 参数 
Body: image, -- -图 片 内 容 


Bucket: bucket, -- -存储 桶 的 名 称 
Key: uuid.v4(), =- -人 允许 所 有 人 从 存储 桶 读 取 图 片 
ACL: "public-read", 一 - -为 对 象 生成 一 个 唯一 的 主键 


ContentLength: image.byteCount =- -图片 的 大 小 ， 以 字 贡 为 单位 
}; 
s3.putObject(params, function(err, data) { 一- -上 传 图 片 到 S3 

if (err) { ~- -处 理 错误 (如 网 络 问题 ) 

console.error(err); 
response.status(500); 
response.send("Internal server error."); 

} else { ~- -操作 成 功 的 后 续 操 作 

response.redirect("/"); 

} 

}); 


} 
ese 


AWS SDK 人 负责 在 后 台 发 送 所 有 相关 的 HTTPS 请 求 到 S3 API ° 
2. 列 出 S3 存 储 桶 的 所 有 图 片 


为 了 列 出 所 有 图 片 ， 应 用 程序 需要 列 出 用 户 的 存储 桶 的 所 有 对 
象 。 这 可 以 通过 调用 S3 服 务 的 1istobjects() 方法 完成 。 代 码 清单 


7-2 显 示 serverjs 的 JavaScript 代 码 的 相应 部 分 实现 ， 这 是 Web 服务 需 端 
的 代码 。 


代码 清单 7-2 ”获取 S3 存 储 桶 的 所 有 图 片 地 址 


[. 


var bucket = "[...]"; 


function listImages(response) { 
var params = { «--7E Mlist-objects 方法 的 参数 
Bucket: bucket 
}; 
s3.list0Objects(params, function(err, data) { 
objects 方法 
if (err) { 
console.error(err); 
response. status(500); 
response.send("Internal server error."); 
} else { 
var stream = mu.compileAndRender("index.html", 


Objects: data.Contents, =- -返回 结果 包含 存储 桶 的 对 象 列表 
Bucket: bucket 
} 
); 
stream.pipe(response); 
} 
}); 
} 


1 ist-objects 操 作 返 回 存储 桶 的 所 有 图 片 ， 但 是 该 代码 清单 不 包括 
图 片 的 内 容 。 在 上 传 阶段 ， 图 片 的 访问 权限 设置 为 Public Read 公 开 访 
问 。 这 意味 着 任何 人 都 可 以 通过 存储 桶 的 名 字 和 对 象 的 主键 直接 从 S3 
下 载 图 片 。 代 码 清单 7-3 展 示 了 index.html 模 板 的 部 分 代码 ， 这 段 代码 
将 泻 染 该 请 求 。0bjects 变量 包含 了 存储 桶 的 所 有 对 象 。 


代码 清单 7-3 ”把 数据 泻 染 成 HTML 的 模板 


R 


ial 
<h2>Images</h2> 
{{#0bjects}} oe 
<p> <- -构建 URL， 用 来 从 存储 桶 中 提取 一 个 图 片 


i 


历 所 有 对 象 


<img src="https://s3.amazonaws.com/{{Bucket}}/{{Key}}"/> 
</p> 
{{/Objects}} 
[...] 


现在 我 们 看 到 了 Simple S3 Gallery 应 用 里 和 S3 集 成 的 3 个 重要 的 部 
分 : EARS ALG > SUM APA EA TR TEA 


别 忘 了 清理 
己 的 名 字 :; 


和 删除 在 本 例 中 的 S3 存 储 桶 。 


看 的 命令 ， 将 $YourName 替换 为 


我 们 已 经 学 会 了 如 何在 AWS SDK 的 帮助 下 将 S3 用 于 Java Script 和 


Node.js。 针 对 其 他 编程 语言 使 用 AWS SDK 也 是 类 拟 的 。 


7.6 ”使 用 S3 来 实现 静态 网 站 托管 


可 以 使 用 S3 来 服务 一 个 静态 的 网 站 ， 并 且 服 务 静 态 内 容 ， 如 
HTML ` CSS ` KH (如 PNG 和 JPG) 、 音 频 和 视频 。 不 能 在 S3 上 执行 
服务 器 端 脚 本 (如 PHP 或 者 JSP) ， 但 是 可 以 在 客户 端 执 行 存储 在 S3 上 
的 客户 端 脚本 (如 JavaScript) ° 


Ea ` ~ ia FT] 
g E PH EEI 
i HL 5 


使 用 内 容 分 发 系统 帮助 减少 静态 网 站 内 容 的 加 载 时 间 。CDN 在 全 球 范围 分 发 HTML 、 
Css 和 图 片 这 样 的 静态 内 容 。 一 旦 用 户 请 求 访问 静态 内 容 ，CDN 可 以 从 最 近 的 位 置 以 最 低 
的 时 延 返回 结果 给 用 户 。 


Amazon S3 不 是 一 个 CDN， 但 是 可 以 让 S3 作 为 AWS 的 CDN 服 务 : Amazon CloudFront 的 
源 服务 器 。 如 果 读者 希望 了 解 如 何 设置 CloudFront， 可 以 从 AWS 官 方 网 站 查看 CloudFront 的 
文档 ， 本 书 不 会 介绍 这 部 分 内 容 。 


另外 ，S3 还 提供 了 一 些 服 务 静态 网 站 的 功能 。 


。 指定 自 定义 的 index 文 档 和 error 文 档 。 
。 定义 对 所 有 或 者 特定 的 页 面 请 求 进 行 重 定向 。 
。 为 S3 存 储 桶 设置 自 定义 的 域名 。 


7.6.1 创建 存储 桶 并 上 传 一 个 静态 网 站 


首先 需要 创建 一 个 新 的 S3 存 储 桶 。 打 开 终 端 并 且 执 行 下 面 的 命令 
来 完成 这 个 步骤 。 替 换 $BucketName 为 自己 的 存储 桶 名 称 。 如 之 前 
提 到 的 ， 存 储 桶 的 名 字 需 要 在 全 球 唯一 ， 所 以 一 个 明智 的 做 法 是 用 目 
己 的 域名 作为 存储 桶 的 名 字 (如 static.yourdomain.com) 。 如 果 和 希望 重 
定 同 域名 到 S3， 必 须 使 用 域名 作为 $3 的 存储 桶 名 : 


$ aws s3 mb s3://$BucketName 


现在 存储 桶 是 空 的 ， 接 下 来 将 存 一 个 HTML 文 档 进去 。 我 们 已 经 
准备 好 一 个 HTML 文 件 (helloworld.html) 。 读 者 可 以 下 载 的 源 代码 中 
找到 该 文件 。 


现在 读者 可 以 上 传 文件 到 S3。 读 者 可 以 执行 下 面 的 命令 来 做 到 这 
一 点 ， 将 $PathToPlaceholder 替换 为 之 前 下 载 HTML 的 路 径 并 且 
RHA $BucketName 为 用 户 的 存储 桶 名 : 


$ aws S3 cp $PathToPlaceholder/helloworld.html \ 
s3://$BucketName/helloworld. html 


现在 已 经 创建 了 一 个 存储 桶 并 且 上 传 了 helloworld.html 的 HTML 文 
档 。 接 下 来 配置 存储 桶 。 


7.6.2 ”配置 存储 桶 来 实现 静态 网 站 托管 


默认 情况 下 ， 只 有 文件 的 拥有 者 可 以 访问 S3 存 储 桶 的 文件 。 使 用 
S3 来 提供 静态 网 站 服务 的 话 ， 束 需要 允许 所 有 人 查看 或 者 下 载 该 存储 
桶 里 的 文档 。 存 储 桶 策略 可 以 用 来 在 全 局 控制 存储 桶 里 对 象 的 访问 权 
限 。 在 第 6 章 里 我 们 已 经 学 习 了 IAM 的 策略 IAM 策略 使 用 JSON 定 义 
权限 ， 它 包含 了 一 个 或 者 多 个 声明 ， 并 且 一 个 声明 里 允许 或 者 拒绝 特 
定 操 作对 某 个 资源 的 访问 。 存 储 桶 策略 和 IAM 策 略 很 相似 。 


读者 可 以 下 载 的 源 代码 中 找到 存储 桶 案 略 bucketpolicy. json ° 
接 下 来 需要 编辑 bucketpolicy.json 文 件 。 代 码 清 单 7-4 解 释 了 该 倘 


上 略 。 使 用 目 己 偏好 的 编辑 器 打开 该 文件 ， 并 且 蕉 换 $BucketName 为 
具体 的 存储 桶 名 。 


代码 清单 7-4 ”本 存储 桶 策略 允许 对 存储 桶 里 的 所 有 对 象 的 只 读 访 问 


{ 
"Version":"2012-10-17", 
"Statement": [ 


"Sid": "AddPerm", 
"Effect": "Allow", 
"Principal": "*", 和 一 - =. TE 
"Action":["s3:GetObject"], ` 
"Resource": ["arn:aws:S3:::$BucketName/ *" - -.…. 从 你 的 存储 


使 用 下 面 的 命令 可 以 添加 桶 策略 到 存储 桶 。 将 $BucketName 和 替 
换 为 存储 桶 名 ， 并 且 将 $PathToPolicy 替换 为 bucketpolicy.json 的 路 


8: 


$ aws s3api put-bucket-policy --bucket $BucketName \ 


--policy file://$PathToPolicy/bucketpolicy.json 


现在 存储 彬 里 的 所 有 对 象 可 以 被 任何 人 下 载 。 接 下 来 需要 激活 和 
配置 $3 服 务 静 仿 网 站 。 要 做 到 这 一 点 ， 需 要 执行 下 面 的 命令 ， 并 且 营 


换 $BucketName 为 实际 的 存储 桶 名 称 : 


$ aws s3 website s3://$BucketName --index-document helloworld. html 


存储 桶 现在 已 经 配置 为 服务 一 个 静态 网 站 ， 使 用 helloworld.html 作 
为 索引 页 面 。 下 面 来 了 解 如 何 访问 该 网 站 。 


7.6.3 ”访问 S3 上 托管 的 静态 网 站 


可 以 通过 浏 宽 絮 访 问 静 态 网 站 。 要 先 移 择 正确 的 端点 。 根 据 存 储 
桶 所 在 区 域 的 不 同 ，S3 欧 态 网 站 的 站 点 也 可 能 不 同 : 


$BucketName.s3-website-$Region.amazonaws.com 


这 个 存储 桶 创建 在 默认 的 区 域 us-east-1， 所 以 输入 $BucketName 
来 组 成 存储 桶 的 端点 ， 和 替换 $Region 为 us -east-1: 


$BucketName.s3-website-us-east-1.amazonaws.com 


使 用 浏览 硕 打 开 这 个 URL， 应 该 能 看 的 一 个 Hello World 的 网 站 。 


如 果 不 想 使 用 awsinaction.s3-website-us-east-1.amazonaws.com 这 样 的 域名 作为 静态 网 站 


的 域名 ， 用 户 可 以 关联 一 个 自 定义 的 域名 到 $3 存储 桶 。 用 户 只 需要 为 自己 的 域名 添加 一 个 
CNAME 别 名 记录 ， 让 该 记录 指向 S3 存 储 桶 的 端点 即 可 。 


CNAME 别 名 记录 只 在 满足 下 面条 件 的 时 候 生效。 


。 存储 桶 名 必须 和 CNAME 别 名 记录 一 样 。 例 如 ， 要 创建 一 个 CNAME 给 
static.yourdomain.com， 存 储 桶 名 也 必须 是 static.yourdomain.com ° 


。 CNAME 别 名 记录 不 适用 于 主 域名 。 可 以 给 子 域名 创建 别名 记录 的 资源 ， 如 static 或 者 
www 这 样 前 缀 的 域名 。 如 果 想 关联 主 域名 到 S3 存 储 桶 ， 需 要 使 用 AWS 提 供 的 Route 


| 53 的 DNS 服务 。 


别 筷 了 在 完成 本 示例 的 时 候 清理 所 用 的 资源 。 要 做 到 这 一 点 ， 执 行 下 
| $BucketName 替换 为 自己 的 存储 桶 名 : 


| 
||$ aws s3 rb --force s3://$BucketName 


7.7 ”对象 存储 的 内 部 机 制 


在 使 用 CLI 命 令 行 访问 S3 的 时 候 ， 了 解 S3 对 象 存储 的 一 些 内 部 机 


制 会 有 帮助 。 和 其 他 很 多 对 象 存储 不 同 的 是 ，S3 是 最 终 一 致 的 。 如 采 
不 考虑 到 这 一 点 ， 在 刚刚 更 新 对 象 之 后 马上 去 访问 对 象 ， 读 者 会 观 家 
到 奇怪 的 结果 。 田 外 一 个 挑战 是 如 何 合理 地 设计 对 象 主 链 来 实现 S3 的 
1/O 性 能 的 最 大 化 。 接 下 来 我 们 就 来 了 解 一 下 这 两 点 。 


7.7.1 ”确保 数据 一 致 性 


53 上 创建 、 更 新 或 者 删除 对 象 的 操作 是 原子 操作 。 这 意味 着 ， 如 
果 用 户 在 创建 、 更 新 或 者 删除 之 后 读 取 这 个 对 象 ， 水 远 不 会 读 到 失效 
的 或 者 一 洲 的 数据 。 但 是 有 可 能 恋 取 操作 会 在 一 段 时 间 里 只 返回 肯 的 


数据 


S3 提 供 的 是 最 终 一 致 性 。 如 采 上 传 一 个 已 有 对 象 的 新 的 版 本 ， 并 
且 S3 对 该 请 求 返回 成 功 代码 ， 和 意味 痢 数据 已 经 安全 的 保存 在 $S3。 但 
征 ， 如 图 7-12 所 示 ， 立 即 去 下 载 更 新 后 的 对 象 仍 可 能 返回 旧 的 版 本 。 
ee 过 段 时 间 就 可 以 下 载 到 更 新 后 的 对 


上 传 已 有 对 象 


的 新 版 本 
& 仍然 下 载 
| x 旧版 本 

ees Bs 

T g ~~ 


(ay 


图 7-12 ”最 终 一 致 性 ， 如 果 更 新 一 个 对 象 然后 尝试 读 取 ， 对 象 可 能 还 包含 旧 的 版 本 。 在 有 些 
情况 下 ， 最 新 的 版 本 可 以 访问 到 


在 上 传 新 对 象 之 后 ， 立 即 提 交 的 读 请 求 会 读 到 一 致 的 数据 。 但 是 
在 更 新 或 者 删除 操作 之 后 的 读 请 求 操 作 将 返回 最 终 一 致 的 结 末 。 


7.7.2 ”选择 合适 的 键 


给 变量 或 者 文件 取 名 是 IT 领域 最 困难 的 任务 之 一 。 为 存储 在 $3 上 
的 对 象 选择 合 适 的 键 尤其 困难 。 键 的 命名 决定 了 该 键 保 存在 哪 一 个 分 
区 = 为 所 有 对 象 的 键 在 开头 的 部 分 使 用 相同 的 字符 串 ， 将 限制 S3 存 储 
桶 的 最 大 1/O 性 能 。 相 反 ， 应 该 为 对 象 选 择 开头 不 同 的 字符 串 作 为 键 。 
如 图 7-13 所 示 ， 这 会 带 来 最 大 的 /JO 性 能 


键 开 头 使 用 相同 的 字符 串 
@ image1.png 限制 WO 性 能 
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ABCDEFGHIJKLMNOPQRSTUVWXYZ 
键 开头 使 用 不 同 的 字符 串 


同 的 字符 串 作 为 键 


> 


图 7-13 ”为 了 改善 S3 的 MO 性 能 ， 不 要 使 用 开 闵 


在 键 中 使 用 一 个 斜 线 VY) 的 效果 就 像 为 对 象 创建 目录 一 样 。 如 果 
用 户 创 建 的 对 象 的 键 为 folder/object .png ， 在 通过 管理 控制 台 这 
样 的 图 形 化 界面 浏览 存储 桶 的 时 候 ， 用 户 会 看 到 目录 。 但 是 从 技术 的 
本 质 上 看 ， 对 象 的 键 仍 然 是 folder/object.pgn ° 


假设 要 存储 的 图 片 分 别 由 不 同 的 用 户 上 传 ， 我 们 为 对 象 的 键 设 计 
了 下 面 的 命名 方式 : 


$Imageld.png 


$Imageld 是 一 个 递增 的 字符 ID。 对 象 列表 看 上 去 大 概 如 下 : 


/image1.png 
/image2.png 


/image3.png 
/image4.png 


对 象 的 键 为 阿拉 伯 字 母 顺 序 排序 ， 这 种 情况 下 S3 的 存储 桶 的 最 大 
性 能 不 会 达到 最 优 。 可 以 通过 为 每 个 对 象 的 键 添加 散 列 前 缀 的 方式 修 
yf ° 例如， 可 以 使 用 原始 键 名 的 MD5 的 散 列 附加 在 后 面 组 成 
DWI BE : 


/ai7c3-image1.png 
/*f211-image2.png 
/110e2-image3.png 


/rd717-image4. png 


这 样 会 有 助 于 分 配对 象 键 到 不 同 的 分 区 ， 从 而 提高 S3 的 MO 性 能 。 
了 解 这 些 S3 的 内 部 机 制 有 助 于 优化 对 其 的 使 用 。 


7.8 ”小结 


对 和 象 由 唯一 的 标识 符 、 用 来 描述 和 管理 对 象 的 元 数据 和 内 容 本 刁 
组 成 。 图 片 、 文 档 、 可 执行 文件 或 者 任何 其 他 内 容 都 可 以 用 对 和 象 
的 形式 保存 在 对 象 存储 中 。 

Amazon S3 是 一 个 对 象 存储 ， 通 过 HTTPS 访 问 。 可 以 使 用 CLI 命 令 
、SDK 开 发 者 工具 包 或 者 管理 控制 台 来 上 传 、 管 理 和 下 载 
对 象 。 

因为 不 再 需要 把 对 象 保存 在 本 地 服务 器 中 ， 所 以 在 应 用 程序 中 集 
成 S3 有 助 于 实现 无 状态 的 服务 器 架构 。 

可 以 定义 一 个 生命 周期 管理 的 规则 ， 把 数据 上 自动 从 Amazon S3 移 
动 到 Amazon Glacier， 从 而 降低 数据 存储 的 成 本 。Amazon Glacier 
是 一 个 很 特别 的 ， 适 合 存放 不 经 常 访 问 的 归档 数据 的 服务 。 

S3 是 最 终 一 致 的 存储 。 在 应 用 程序 中 集成 S3 的 时 候 应 该 考虑 到 这 
一 点 ， 并 且 相 应 地 人 处理 以 避免 出 现 不 希望 的 结果 。 


第 8 章 ae EBS 和 实例 


本 章 主要 内 容 


。 附加 网 络 存储 到 EC2 实 例 

。 使 用 EC2 实 例 的 实例 存储 

。 备份 块 级 别 存储 

。 测试 和 调试 块 级 别 存储 的 性 能 
。 比较 实例 存储 和 网 络 附加 存储 


用 户 就 像 在 个 人 电脑 上 做 的 那样 ， 可 以 使 用 磁盘 文件 系统 
(FAT32、NTFS、ext3、ext4、XFS 等 ) 和 块 级 别 存储 来 存储 文件 。 块 
是 顺序 的 字 节 和 最 小 的 寻 址 单位 。 操 作 系 统 位 于 需要 访问 文件 的 应 用 
程序 和 底层 的 文件 系统 和 块 存 储 的 中 间 。 文 件 系统 负责 管理 文件 放 在 
底层 的 块 级 别 存储 的 具体 哪个 位 置 (哪个 块 的 地 址 ) 。 块 级 别 的 存储 
只 能 在 运行 操作 系统 的 EC2 实 例 上 使 用 。 


操作 系统 通过 打开 、 写 和 读 系 统 调 用 来 提供 对 块 级 别 存 储 的 访 
问 。 人 簿 化 后 的 读 请 求 操 作 大 概 是 下 面 这 样 的 。 


(1) 应 用 程序 想 要 读 取 文件 /path/to/file.txt ， 然 后 提交 
了 一 个 读 系统 调用 。 


(2) 操作 系统 转发 读 请 求 给 文件 系统 。 


(3) 文件 系统 把 /path/to/file .txt 文件 翻译 为 具体 存储 数 
据 的 磁盘 的 数据 块 。 


数据 库 这 样 的 应 用 程序 通过 使 用 系统 调用 的 方式 来 读 写 文件 ， 它 

们 必须 能 够 访问 块 级 别 的 存储 来 持久 化 保存 数据 。 因 为 MySQL 必 须 使 

- 用 访问 文件 ， 所 以 不 能 把 MySQL 的 数据 库 的 文件 保存 在 对 象 
F r o 


7 本 至 中 的 示例 不 都 包含 在 免费 套餐 中 。 当 一 个 示例 会 产生 费 I, 显示 一 个 特殊 的 
警告 消息 。 只 要 不 是 运行 这 些 示例 好 几 天 ， 就 不 需要 文 付 任何 费用 aie 这 仅 适 用 于 读 
者 为 学 习 本 书 刚刚 创建 的 全 新 AWS 账 卢 并 且 在 这 个 AWS k 户 里 没 有 - 其 他 活动 。 尽 量 在 
天 的 时 间 里 完成 本 章 中 的 示例 ， 在 每 个 示例 完成 后 务必 清理 账户 。 


==] 


AWS 提 供 两 种 类 型 的 块 级 别 存储 ， 即 网 络 附 加 行 储 和 实例 存储 i 
网 络 附加 存储 (BUSCSI) 通过 网 卡 附 加 到 EC2 实 例 ， 但 是 实例 存储 
年 提供 你 的 EC2 实 例 的 主机 系统 提供 的 正 浓 的 物理 磁盘 。 大 多 数 情况 
下 ， 网 络 附加 存储 是 最 好 的 选择 ， 因 为 它 为 数据 提供 99.999% 的 可 用 
性 。 实 例 存储 在 需要 性 能 的 时 候 会 更 合适 。8.1 有 至 8.3 世 会 介绍 和 比较 
两 种 块 级 别 存 储 解 决 方案 。 我 们 将 块 级 别 存储 连接 到 EC2 实 例 ， 进 行 
性 能 测试 ， 并 探讨 如 何 备份 ?数据 o 之 后 ， 你 将 使 用 实例 存储 和 网 络 附 
加 存储 来 搭建 共 译 的 文件 系统 。 


8.1 网 络 附加 存储 


弹性 数据 块 存 储 (EBS) 提供 网 络 附 加 的 ， 数 据 块 级 别 的 存储 ， 
eee 性 。 图 8-1 展 示 了 如 何在 EC2 实 例 上 使 用 EBS 


EC2 实 例 EBS# 


图 8-1 EBS 卷 是 独立 的 资源 ， 但 是 可 以 挂 载 到 一 个 EC2 实 例 上 使 用 


EBS#: 


不 属于 EC2 实 例 的 一 部 分 ， 它 们 通过 网 卡 附加 到 EC2 实 例 。 如 果 
终结 了 EC2 实 例 ，EBS 卷 仍然 存在 ; 

可 以 独立 存在 或 者 同一 时 间 挂 载 到 一 个 EC2 实 例 上 ; 

。 可 以 像 普通 硬盘 一 样 使 用 ; 

类 似 于 RAID1， 在 后 台 把 数据 保存 到 多 块 磁 盘 上 。 


不 能 同时 挂 在 一 块 EBS 卷 到 多 台 服 务 器 ! 


8.1.1 创建 EBS 卷 并 挂 载 到 服务 器 


下 面 的 示例 演示 了 如 何在 CloudFormation 的 帮助 下 创建 EBS 卷 ， 并 
且 挂 载 到 EC2 实 例 。 


"Server": { 


"Type": "AWS::EC2::Instance", 
"Properties": { 


} 
ty 
"Volume": { 
"Type": "AWS: :EC2::Volume", ---EBS 卷 描述 
"Properties": { 
"AvailabilityZone": {"Fn::GetAtt": ["Server", 
"AvailabilityZone"]}, 
"Size": "5", ---5 GB 容量 
"VolumeType": "gp2" -- -基于 SSD 
} 


"VolumeAttachment": { 
"Type": "AWS: :EC2::VolumeAttachment", -- -附加 EBS 卷 到 服务 器 
"Properties": { 
"Device": "/dev/xvdf", <- -设备 名 
"InstanceId": {"Ref": "Server"}, 
"VolumeId": {"Ref": "Volume"} 
} 
} 


EBS 卷 是 一 个 独立 的 资源 。 这 意味 它 可 以 独立 于 EC2 服 务 器 存 
在 ， 但 是 需要 一 台 EC2 服 务 器 才能 使 用 EBS 卷 。 


8.1.2 使 用 弹性 数据 块 存储 


为 了 帮助 读者 了 解 EBS， 我 们 准备 了 一 个 CloudFormation 的 模板 ， 
其 位 于 https://s3.amazonaws. com/awsinaction/chapter8/ebs.json。 基 于 这 
个 模板 创建 一 个 堆栈 ， 参数 为 yes ， 然 后 复制 
Public-Name 和 输出， 并且 通过 SSH 进 行 连接 。 


使 用 fdisk 可 以 看 到 已 经 附加 的 EBS 卷 。 通 常 ，EBS 卷 可 以 
在 /dewxvdf 到 /devwxvdp 下 面 找到 。 根 卷 是 一 个 例外 一 一 
在 启动 EC2 实 例 的 时 候 ， 它 基于 选择 的 AMI 创 建 ， 并 有 旦 包含 了 所 有 用 
于 引导 实例 的 信息 (操作 系统 文件 ) : 


$ sudo fdisk -1 

Disk /dev/xvda: 8589 MB [...] ~- - 根 卷 (存放 操作 系统 ) 
Units = sectors of 1 * 512 = 512 bytes 

Sector size (logical/physical): 512 bytes / 512 bytes 
I/O size (minimum/optimal): 512 bytes / 512 bytes 
Disk label type: gpt 


# Start End Size Type Name 


1 4096 16777182 8G Linux filesyste Linux 
128 2048 4095 1M BIOS boot parti BIOS Boot 
Partition 


Disk /dev/xvdf: 5368 MB [...] -- -附加 的 EBS 着 
Units = sectors of 1 * 512 = 512 bytes 

Sector size (logical/physical): 512 bytes / 512 bytes 
I/O size (minimum/optimal): 512 bytes / 512 bytes 


创建 一 个 新 的 EBS 卷 时 ， 必 须 在 ° 你 还 可 
以 在 EFBS 着 上 创建 不 同 的 分 区 ， 但 是 在 本 例 中 卷 的 容量 只 有 5 GB, Pi 
以 不 需要 进 一 步 分 区 。 分 区 不 是 使 用 EBS 卷 的 最 佳 KE - 应 该 创建 和 

需求 相同 容量 大 小 的 卷 ， 在 需要 两 个 单独 的 分 区 情况 下 ， 直 接 创 建 两 
个 卷 更 合适 。 在 Linux 中 ， A eames 基于 卷 来 创建 文件 系统 。 
面 的 例子 创建 了 ext4 的 文件 系统 : 


$ sudo mkfs -t ext4 /dev/xvdf 
mke2fs 1.42.12 (29-Aug-2014) 
Creating filesystem with 1310720 4k blocks and 327680 inodes 
Filesystem UUID: e9c74e8b-6e10-4243-9756-047ceaf22abc 
Superblock backups stored on blocks: 

32768, 98304, 163840, 229376, 294912, 819200, 884736 


Allocating group tables: done 

Writing inode tables: done 

Creating journal (32768 blocks): done 

Writing superblocks and filesystem accounting information: done 


文件 系统 创建 完成 之 后 ， 束 可 以 挂 载 文件 系统 到 一 个 目 永 : 


$ sudo mkdir /mnt/volume/ 
$ sudo mount /dev/xvdf /mnt/volume/ 


使 用 df -h 命令 可 以 查看 已 经 挂 载 的 卷 : 


$ df -h 

Filesystem Size Used Avail Use% Mounted on 

/dev/xvda1 7.8G 1.1G 6.6G 14% / ~-- 根 卷 (存放 操作 系统 ) 
devtmpfs 490M 60K 490M 1% /dev 

tmpfs 499M 0 499M 0% /dev/shm 

/dev/xvdf 4.86 10M 4.6G 1% /mnt/volume -- -EBS @ 


EBS@A—MRAWIILA: 它们 不 属于 EC2 的 一 部 分 ， 征 独立 的 
人 资源。 我 们 可 以 保存 文件 到 EBS 卷 ， 然 后 去 掉 挂 载 ， 并 从 EC2 上 摘 挥 
该 卷 ， 这 样 束 可 以 了 解 到 它 独 立 于 EC2 的 特性 : 


$ sudo touch /mnt/volume/testfile -- -在 /mnt/volume/ 目 录 中 创建 
testfile 
$ sudo umount /mnt/volume/ 


现在 更 新 CloudFormation 堆 栈 ， 修 改 AttachVolume 参数 为 no ° 
a 
JG : 


$ sudo fdisk -1 
Disk /dev/xvda: 8589 MB, 8589934592 bytes, 16777216 sectors 
Units = sectors of 1 * 512 = 512 bytes 


Sector size (logical/physical): 512 bytes / 512 bytes 
I/O size (minimum/optimal): 512 bytes / 512 bytes 
Disk label type: gpt 


# Start End Size Type Name 

1 4096 16777182 8G Linux filesyste Linux 
128 2048 4095 1M BIOS boot parti BIOS Boot 
Partition 


/mntvolume/ 中 的 测试 文件 也 不 见 了 : 


$ ls /mnt/volume/testfile 
ls: cannot access /mnt/volume/testfile: No such file or directory 


现在 可 以 重新 挂 在 EBS 卷 到 EC2。 更 改 CloudFormation 堆 栈 ， 并 修 
改 AttachVolume 参数 为 Yes 。 在 更 新 完成 后 ，/dev/xvdf 重 新 可 以 访 
[Al : 


$ sudo mount /dev/xvdf /mnt/volume/ 
$ ls /mnt/volume/testfile -- -检查 /mnt/volume/ 目 录 中 是 否 有 testfile 


/mnt/volume/testfile 


太 棒 了 。 在 /mntyvolume/ 下 面 创 建 的 测试 文件 还 在 那里 。 
8.1.3” 玩 转 性 能 


硬盘 的 性 能 测试 通常 分 为 读 操作 和 写 操作 测试 。 用 户 可 以 使 用 很 
多 不 同 的 工具 进行 测试 。 一 个 简单 的 工具 是 dd ， 它 可 以 通过 指定 数据 
源 if=/ 到 源 路 径 和 目标 of=/ 到 目的 路 径 来 进行 数据 块 级 别 的 读 写 测 
试 。 


$ sudo dd if=/dev/zero of=/mnt/volume/tempfile bs=1M count=1024 \ 


~-- 每 次 写 1 MB， 进 行 1 024 次 写 测试 
conv=fdatasync,notrunc 


1024+0 records in 

1024+0 records out 

1073741824 bytes (1.1 GB) copied, 16.9858 s, 63.2 MB/s -- -63.2 
MB/s 的 写 性 能 


$ echo 3 | sudo tee /proc/sys/vm/drop_caches -- -缓存 清空 至 磁盘 


$ sudo dd if=/mnt/volume/tempfile of=/dev/null bs=1M count=1024 


一- -每 次 恋 1 MB, YETI 024 次 读 测试 

1024+0 records in 

1024+0 records out 

1073741824 bytes (1.1 GB) copied, 16.3157 s, 65.8 MB/s -- -65.8 
MB/s 的 读 性 能 


= 


已 


注意 ， 随 着 真实 的 工作 人 负载 的 不 同 ， 存 储 性 能 的 表现 也 不 一 样 。 
本 示例 假设 文件 大 小 为 IMB。 如 采 应 用 是 互联 网 网 站 的 话 ， 很 有 可 能 
处 理 数 据 的 会 是 大 量 的 小 文件 。 


但 是 EBS 卷 更 加 复杂 。 存 储 性 能 取决 于 EC2 的 实例 类 型 和 EBS 卷 的 
类 型 。 表 8-1 列 出 了 默认 为 EBS 优 化 的 EC2 实 例 类 型 和 EBS 卷 的 类 型 ， 
有 些 EC2 实 例 类 型 可 能 需要 每 小 时 为 EBS 优 化 付出 额外 的 成 本 。 每 秒 
的 IO 操作 使 用 16 KB 的 WO 大 小 来 进行 测量 。 存 储 性 能 很 大 程度 上 依赖 
于 实际 的 工作 负载 : 是 读 操作 还 是 写 操 作 ， 每 个 IO 操作 的 大 小 。 这 些 
数据 仅 供 参 考 ， 生 产 中 的 性 能 情况 可 能 有 所 差异 。 


表 8-1 EBS 优 化 的 实例 类 型 的 性 能 表现 


使 用 场景 实例 类 型 aah near 
anaa 


m c3.xlarge~3.4xlarge |60~240 4 000~16 000 
优化 的 计 c4.large~c4.8xlarge |60~480 4000~32 000 | 是 
算 


ea 最 大 带宽 每 秒 最 大 LO 次 | 默认 EBS 优 
Wo r3.xlarge~r3.4xlarge ay 


优化 的 存 i2.xlarge~i2.4xlarge 60~240 4 000~16 000 
储 60 

优化 的 存 |d2.xlarge~ z £ 

d2 8xlarge 90~480 6000~32 000 | 


根据 工作 负载 的 要 求 ， 你 需要 选择 一 个 能 够 提供 足够 市 宽 的 EC2 
实例 类 型 。 另 外 ，EBS 卷 必须 能 够 充分 使 用 EC2 提 供 的 市 宽 。 表 8-2 给 
出 了 可 以 选择 的 EBS 卷 类 型 和 它们 的 性 能 指标 。 


表 8-2 不 同 的 EBS 类 型 


1 GiB~ 
_ 


1 GiB~ 
预 配 E |4GiB~ | 59 pini 
能 (SSD) 16 TiB 30/GiB 即 20 000) 


不 管 实 际 使 用 了 多 少 容 量 ，EBS 卷 都 按照 卷 的 容量 大 小 来 收费 。 


如 果 创 建 了 一 个 100 GB 大 小 的 EBS 卷 ， 即 使 没有 保存 任何 数据 在 上 
面 ， 你 仍然 需要 为 100 GB 的 EBS 卷 进行 付费 。 如 果 使 用 的 是 物理 磁 


盘 ， 则 需要 为 每 次 WO 操作 付费 。 如 琳 使 用 的 预 配置 IOPS 性 能 的 EBS 卷 
(SSD) ， 还 需要 为 预先 配置 的 IOPS 性 能 付费 。 用 户 可 以 使 用 简 
单 月 度 成 本 计算 需 来 计算 存储 成 本 。 


GiB 和 TiB 的 术语 并 不 经 常 看 到 ; 你 可 能 更 加 熟悉 GB 和 TB 的 术语 。 但 是 在 某 些 情况 
下 ，AWS 使 用 GiB 和 TiB 的 术语 。 下 面 是 这 两 个 术语 的 含义 : 


。1GiB = 230 字 节 = 1073 741 824 字 节 
。 1 GiB 约 为 1.074 GB 


e 1GB = 10? #73 = 1 000 000 000 字 节 


BO EWR E SSD Atha ° UR LE ft Bie Re  & AIOPS 
性 能 ， 推 荐 选择 预 配置 IOPS 性 能 的 SSD 位 盘 。 用 户 可 以 附加 多 个 EBS 
卷 到 一 台 EC2 实 例 来 增加 容量 或 者 总 体 的 性 能 。 


可 以 把 两 个 甚至 更 多 的 EBS 卷 挂 载 到 同一 台 EC2， 并 使 用 软件 
RAID0 来 提升 性 能 。RAID0 技 术 让 数据 分 散 到 多 块 磁盘 ， 但 是 同一 个 
ee ee 。 在 Linux 系 统 中 可 以 使 用 mdadm 来 创建 软 
FERAID ° 


8.1.4 备份 数据 


EBS 卷 提供 99.9999% 的 可 用 性 ， 但 是 仍然 需要 不 时 地 创建 备份 。 幸 
运 的 是 ，EBS 卷 提供 了 优化 的 易于 使 用 的 EBS 快 照 功 能 来 备份 EBS 卷 的 
数据 。 人 快照 是 存储 在 $S3 上 的 块 级 别 的 数据 复制 。 如 果 卷 大 小 是 5 GB 并 
且 上 面 保存 了 1 GB 的 数据 ， 第 一 个 快照 的 容量 大 小 为 1 GB 左右 。 在 创 
建 第 一 个 快照 后 ， 只 有 更 改过 的 数据 才 会 被 保存 在 $S3， 以 节省 备份 的 
容量 。EBS 卷 的 快照 收费 取决 于 你 使 用 的 GB 容 量 。 


可 以 使 用 下 面 的 命令 行 来 创建 快照 。 在 创建 快照 之 前 ， 需 要 获取 
EBS 卷 的 ID。 可 以 在 CloudFormation 的 输出 内 容 里 找到 VoLumeId 卷 
ID， 或 者 运行 下 面 的 命令 : 


$ aws --region us-east-1 ec2 describe-volumes \ 
--filters "Name=size,Values=5" --query "Volumes[].VolumeId" \ 


--output text 
vol-fd3c@aba J A9$Volumeld 


有 了 卷 ID， 可 以 接 下 来 创建 一 个 快照 : 


$ aws --region us-east-1 ec2 create-snapshot --volume-id $VolumeId 
为 用 户 的 $SnapshotId 


"Description": null, 

"Encrypted": false, 

"VolumeId": "vol-fd3cOaba", 

"State": "pending", -- -用 户 的 快照 的 状态 

"VolumeSize": 5, 

"Progress": null, 

"StartTime": "2015-05-04T08:28:18.000Z", 

"SnapshotId": "snap-cde@1a8sc", -- -用 户 的 $SnapshotId 
"OwnerId": "878533158213" 


根据 卷 的 容量 大 小 和 改变 的 数据 量 的 不 同 ， 创 建 快照 的 时 间 也 不 
一 样 。 我 们 可 以 使 用 下 面 的 命令 来 得 看 快照 的 状态 : 


$ aws --region us-east-1 ec2 describe-snapshots --snapshot-ids 


$SnapshotId 一- -替换 为 用 户 的 $snapshotId 
{ 


"Snapshots": [ 
{ 
"Description": null, 
"Encrypted": false, 
"VolumeId": "vol-fd3cOaba", 


"State": "completed", =--“completed” 代 表 快 照 创建 完 成 
"VolumeSize": 5, 
"Progress": "100%", —- -用 户 的 快照 的 进度 


"StartTime": "2015-05-04T08:28:18.000Z", 
"SnapshotId": "snap-cde01ia8c", 
"OwnerId": "878533158213" 


po 
可 以 在 一 个 已 经 挂 载 并 且 正 在 使 用 的 EBS 卷 上 创建 快照 ， 但 是 如 
果 内 存 缓存 中 还 有 尚未 写 入 磁盘 的 数据 ， 这 可 能 市 来 一 些 问 题 。 如 果 


2 的 时 候 创建 快照 ， 可 以 使 用 下 面 的 步 又 来 安全 地 创 
pee Ha o 


(1) 在 服务 器 上 运行 fsfreeze -f /mnt/volume 命令 来 冻 
结 所 有 写 操作 。 


(2) 创建 快照 。 
(3) 使 用 fsfreeze -u /mnt/volume 命令 来 恢复 写 操作 。 
(4) 等 待 快照 操作 完成 。 
用 户 只 需要 在 开始 请 求 创建 快照 的 时 候 冻 结 WO。 从 一 个 AMI 
(AMI 是 一 个 快照 ) 创建 EC2 的 时 候 ，AWS 使 用 EBS 快 照 来 创建 一 个 
新 的 EBS 卷 (AR) ° 
要 恢复 快照 里 的 数据 ， 你 必须 基于 快照 来 创建 一 个 新 的 EBS 卷 。 


当 用 户 从 AMI 来 创建 一 台 EC2 实 例 时 ，AWS 基 于 快照 来 创建 一 个 新 的 
EBS 卷 (AMI 是 一 个 快照 ) 


别 生 了 删除 快照 : 


$ aws --region us-east-1 ec2 delete-snapshot --snapshot-id $SnapshotId 


”在 完 
的 资源 人 


用 过 的 资源 ;否则 将 会 为 用 到 


ae ae 时 候 还 需要 删除 整个 堆栈 以 清理 
Gr ° 


8.2 ”实例 存储 


SK IAS fe RIE ke RICE a ° 8-27 RIAR 
并 且 只 有 在 EC2 正 常 运行 的 时 候 才 可 


样 ， 实 例 存储 是 EC2 的 一 部 分 
用 。 如 果 停 止 或 者 终结 实例 ， 上 面 的 数据 不 会 持久 化 保存 ， 所 以 不 需 
要 为 实例 存储 单独 付费 ， 实 例 存 储 的 价格 包含 在 EC2 实 例 的 价格 里 。 


虚拟 服务 器 根据 实例 的 类 型 来 访问 实例 存储 ， 来 永久 保存 文件 


用 户 的 虚拟 服务 器 
| 用 户 1 Boar 用 户 3 
使 用 实例 存储 
调度 和 隔离 到 硬件 


用 于 给 用 户 提 供 实例 
存储 的 SSD 磁 盘 


图 8-2 ”实例 存储 是 EC2 实 例 的 一 部 分 
和 通过 网 络 挂 载 在 EC2 上 的 EBS 卷 不 同 ， 实 例 存 储 包 含 在 虚拟 服 
务 絮 中 ， 没 有 虚拟 服务 器 束 不 再 存在 。 
不 要 使 用 实例 存储 来 存放 不 能 丢失 的 数据 ， 把 它 用 来 存放 缓存 
Æ% o 


临时 数据 和 一 些 在 多 个 市 点 间 复 制 数 据 的 应 用 如 某 些 数据 库 。 如 采用 
已 想 使 用 钟爱 的 NoSQL 数 据 库 ， 应 用 很 有 可 能 负责 复制 数据 ， 这 样 用 


户 可 以 安全 地 使 用 实例 存储 来 获得 最 高 的 MO 性 能 。 


这 意味 着 用 户 


如 果 用 自己 的 EC2 实 例 ， 实 例 存 储 上 的 数据 会 丢失 。 j 
被 删除 并 且 无 法 恢复 ! 


Pee Re AL 


AWS 提 供 SSD 和 物理 磁盘 的 实例 存储 ， 容 量 从 4 GB 到 48 TB 不 
等 。 表 8-3 列 出 了 所 有 提供 实例 存储 的 EC2 实 例 类 型 


表 8-3 ”提供 实例 存储 的 实例 类 型 


使 用 场景 实例 类 型 实例 存储 类 型 | 实例 存储 容量 (GB) 


1 x 32~2 x 320 
1 x 800~8 x 800 
优化 的 存储 | d2.xlarge-d2.8xlarge HDD 3 x 2 000~24 x 2 000 


如 采 布 望 手动 创建 一 个 提供 实例 存储 的 EC2 实 例 ， 按 照 3.1.17 中 
的 步 又 打开 AWS 控 制 台 。 运 行 司 动 EC2 实 例 的 癌 导 。 


启动 m3.medium 的 虚拟 服务 器 将 产生 费用 。 如 果 想 了 解 当 前 的 每 小 时 费用 ， 可 以 访问 
AWSE J A 


Fr 


o 


。 完成 第 1 步 到 第 3 步 : 选择 一 个 AMI， 选 择 m3.medium 实 例 类 型 ， 
并 配置 实例 详细 信息 。 
。 在 第 4 步 ， 如 图 8-3 所 示 那 样 配 置 实例 存储 。 
o 点击“ 添加 新 卷 ” 按 钮 。 
o 选择 “实例 存储 0”。 
o 设置 设备 名 为 “/dev/sdb”。 
。 完成 第 5 步 到 第 7 步 : 为 实例 打 标 签 ， 配置 安全 组 ， 检 查 并 启动 实 


fill ° 
现在 你 的 EC2 实 例 可 以 使 用 实例 存储 了 。 


代码 清单 8-1 展 示 了 如 何 使 用 CloudFormation 来 使 用 实例 存储 。 如 
果 用 户 启动 EBS 为 根 卷 的 EC2 实 例 CXR AL) ， 用 户 必 须 定义 


BlockDeviceMapping s 来 映射 EBS 卷 和 实例 存储 到 特定 的 设备 名 。 
和 创建 EBS 卷 的 模板 不 同 ， 实 例 存 储 不 是 标准 的 独立 资源 ， 实 例 存 储 
是 EC2 的 一 部 分 : 根据 实例 类 型 的 不 同 ， 可 以 选择 零 个 、1 个 或 者 多 个 
实例 存储 作 映 射 。 


| O 选择 实例 存储 0 


步骤 4: 添加 存储 
您 的 实例 将 使 用 以 下 存储 设备 设置 启动 。 您 可 以 将 其 他 EBS 卷 和 实例 存储 卷 连接 到 您 的 实例 ， 或 编辑 根 卷 的 设置 。 您 还 可 以 启 
存储 卷 。 了 解 更 多 关于 Amazbn EC2 中 的 存储 选项 。 


和 类 型 设备 G RE G 大 小 (GiB) 中 BH G 
根 目 录 /dev/xvda alpen aco5e22c46 8 General Purpose SSD (GP2) 
实例 存储 0 /dev/sdb $ 不 适用 不 适用 不 适用 
添加 新 卷 
t O 添加 新 郑 人 @ 选择 设备 名 为 /dev/sdb 


图 8-3 ”在 启动 EC2 实 例 时 添加 实例 存储 
代码 清单 8-1 使 用 CloudFormation 创 建 连接 实例 存储 的 EC2 实 例 


"Server": { 
"Type": "AWS::EC2::Instance", 
"Properties": { 
"InstanceType": "m3.medium", e- -选择 提供 实例 存储 的 实例 类 型 


Ls 
"BlockDeviceMappings": [{ 
"DeviceName": "/dev/xvda", <—--EBS 根 卷 〈 存 放 操 作 系 统 文件 
"Ebs": { 
"VolumeSize": "8", 
"VolumeType": "gp2" 


"DeviceName": "/dev/xvdb", -- -实例 存储 会 显示 为 /dev/xvdb 设备 


文件 
"VirtualName": "“ephemeralo" =- -实例 存储 的 虚拟 名 称 为 
ephemeral10 或 者 ephemeral1 


BlockDeviceMapping 同 样 运用 于 Windows 操 作 系 统 。 设备 名 和 分 区 字符 (如 C:/、 
等 ) 不 同 。DeviceName 要 想 变 成 分 区 字符 ， 首 先 要 把 卷 挂 载 在 EC2 上 。 代 码 清单 8- 1 中 总 示 
的 实例 存储 必须 被 挂 载 为 Z:/。 继 续 阅 读 以 了 解 Linux 操 作 系 统 的 步骤 。 


之 后 要 删除 手动 启动 的 EC2 实 例 ， 以 清除 用 过 的 资源 ， 否 则 将 会 为 创建 的 


8.2.1 使 用 实例 存储 


为 了 帮助 读者 使 用 实例 存储 ， 我 们 创建 了 CloudFormation 模 板 ， 
并 存储 在 https://s3.amazonaws. 
com/awsinaction/chapter8/instance_store.json ° 


动 带 有 实例 存储 的 m3.medium 实 例 将 产生 
访问 AWS 官 方 网 站 。 


想 了 解 当 前 的 价格 信息 ， 可 以 


使 用 该 模板 创建 一 个 堆栈 ， 复 制 PubLicName 的 输出 ， 并 使 用 
SSH 登 录 到 EC2 实 例 。 你 可 以 使 用 fdisk 命令 查看 挂 载 的 实例 存储 。 


通常 ， 实 例 存 储 可 以 在 /dev/xvdb 到 /dev/xvde 设 备 文件 中 找到 。 


$ sudo fdisk -1 

Disk /dev/xvda: 8589 MB [...] 一- - 根 卷 (存放 操作 系统 文件 ) 
Units = Sektoren of 1 * 512 = 512 bytes 

Sector size (logical/physical): 512 bytes / 512 bytes 
I/O size (minimum/optimal): 512 bytes / 512 bytes 

Disk label type: gpt 


# Start End Size Type Name 

1 4096 16777182 8G Linux filesyste Linux 
128 2048 4095 1M BIOS boot parti BIOS Boot 
Partition 
Disk /dev/xvdb: 4289 MB [...] =- -实例 存储 


Units = Sektoren of 1 * 512 = 512 bytes 


Sector size (logical/physical): 512 bytes / 512 bytes 
I/O size (minimum/optimal): 512 bytes / 512 bytes 


要 查看 挂 载 的 卷 ， 运 行 下 面 的 命令 : 


$ df -h 

Filesystem Size Avail Use% Mounted on 
/dev/xvdal 7.8G 6.6G 14% / ~- - 根 卷 (存放 操作 系统 
devtmpfs 1.9G 1.9G 1% /dev 


tmpfs 1.9G 1.96 0% /dev/shm 
/dev/xvdb 3.9G 2.7G 28% /media/ephemeralo =- -实例 存储 
自动 挂 载 


实例 存储 将 目 动 挂 载 到 /media/ephemera0 目 未 下 。 如 果 EC2 实 例 有 
多 个 实例 存储 ， 将 分 别 挂 载 到 ephemeral、ephemera2 等 目 永 。 接 着 我 
们 来 进行 一 些 性 能 测试 。 


8.2.2 ”性 能 测试 


下 面 使 用 相同 的 性 能 测试 来 比较 实例 存储 和 EBS 卷 : 


$ sudo dd if=/dev/zero of=/media/ephemeralO/tempfile bs=1M 
count=1024 \ 
conv=fdatasync, notrunc 


1024+0 records in 

1024+0 records out 

1073741824 bytes (1.1 GB) copied, 5.93311 s, 181 MB/s 一 - -EBS 
的 3 倍 的 读 性 能 

$ echo 3 | sudo tee /proc/sys/vm/drop_caches 

3 


$ sudo dd if=/media/ephemeralO/tempfile of=/dev/null bs=1M 
count=1024 


1024+0 records in 

1024+0 records out 

1073741824 bytes (1.1 GB) copied, 3.76702 s, 285 MB/s «--EBS 
的 4 倍 的 写 性 能 


根据 实际 负载 的 不 同 ， 性 能 可 能 有 所 差异 。 本 示例 中 使 用 1IMB 大 
小 的 文件 。 如 有 果 服 务 的 是 一 个 互联 网 站 总 ， 很 有 可 能 你 将 处 理 大 量 的 


小 文件 。 但 是 这 个 性 能 测试 显示 实例 存储 就 像 一 个 普通 的 磁盘 ， 性 能 
也 和 一 个 普通 的 磁盘 相近 。 


在 本 节 结 束 时 别 筷 了 删除 堆栈 来 清除 所 有 用 过 的 资源 ， 和 否则 很 可 能 会 因为 使 用 这 些 资 
源 被 收取 费用 。 


8.2.3 ”备份 数据 


实例 存储 卷 没有 内 建 的 方法 来 进行 备份 。 利 用 在 7.2 节 所 学 的 知 
识 ， 可 以 使 用 Cron 和 S3 来 定期 备份 数据 : 


$ aws S3 Sync /path/to/data s3://$YourCompany-backup/serverdata 


如 采 需 要 备份 实例 存储 的 数据 ， 很 可 能 更 持久 的 块 存储 EBS 卷 会 
征 更 合适 的 选择 。 实 例 存储 更 适合 对 数据 持久 化 要 求 不 高 的 数据 。 


8.3 ”比较 块 存储 解决 方案 


表 8-4 展 示 了 S3、EBS 和 实例 存储 的 区 别 。 用 户 可 以 参考 表决 定 哪 
种 存储 最 适合 自己 的 应 用 。 基 本 原则 是 : 如 果 应 用 支持 S3， 就 使 用 
S3; 否则 束 选 择 EBS。 


表 8-4 S3 和 AwSs 块 存储 方案 的 比较 


为 需要 块 级 别 存 储 的 “| 提供 临时 数据 存储 或 者 为 内 建 复 
数据 库 或 者 传统 应 用 ”| 制 技术 来 防止 数据 丢失 的 应 用 程 
呈 序 提供 持久 化 凶 提 供 高 性 能 存储 


EC2 实 例 / 系 统 调用 EC2 实 例 / 系 统 调用 


下 面 来 看 一 个 真实 世界 里 使 用 实例 存储 和 EBS 卷 的 例子 。 


8.4 ”使 用 实例 存储 和 EBS 卷 提供 共享 文件 系统 


仅 使 用 AWS 提 供 的 块 级 别 存 储 解 决 方案 无 法 解决 下 面 的 问题 : 如 
何 同时 在 多 个 EC2 实 例 之 间 共 至 块 存储 。 用 户 可 以 使 用 网 络 文 件 系统 
(Network File System, NFS) 协议 来 解决 这 个 问题 。 


4 Amazon Elastic File System 已 经 人 发 


| AWS 提 供 了 一 款 名 为 Amazon Elastic File System 的 服务 。EFS 是 一 个 分 布 式 的 文件 系统 
| 服务 ， 基 于 网 络 文件 系统 第 4 版 (Network File System Version, NFSv4) 协议 。 读 者 可 用 选 
| 择 它 来 解决 在 多 台 服 务 器 之 间 共 享 块 数据 的 需求 。 读 者 可 以 访问 AWS 的 官方 网 站 ， 了 解 
jEFS 是 否 可 以 在 你 选择 的 区 域 里 使 用 EFS © 


图 8-4 展 示 了 一 台 EC2 实 例如 何 工作 为 一 台 NFS 服 务 器 ， 并 且 通 过 
NFS 共 享 文件 。 其 他 EC2 实 例 (NEFS 客 户 端 ) 可 以 通过 网 络 连 接 从 NFS 
服务 器 挂 载 NFS 共 享 。 为 了 改善 延 时 的 性 能 ，NFS 服 务 器 上 使 用 了 实 


例 存储 。 但 是 你 已 经 了 解 到 实例 存储 无 法 提供 很 好 的 持久 性 ， 所 以 必 
须 保护 数据 。NFS 服 务 磊 上 还 挂 载 了 一 个 EBS 卷 ， 数 据 将 定期 同步 到 
EBS 郑 上。 最 坏 的 情况 是 丢失 目 上 一 次 同步 操作 后 改变 的 数据 。 在 某 
些 情况 下 〈 例 如 ， 在 Web 服 务 器 之 间 共 享 PHP 文 件 ) ， 这 些 数据 丢失 
征 可 以 接受 的 ， 因 为 数据 可 以 被 重 狐 加 载 。 


设置 NFS 服 务 器 可 能 不 适合 业务 关键 性 生产 环境 。NFS 服 务 器 是 一 个 单 点 故障 : 如 果 
EC2 实 例 故 障 ， 其 他 NFS 客 户 端 将 无 法 访问 共享 文件 。 请 慎重 选择 使 用 共享 的 文件 系统 。 
在 多 数 情况 下 ， 如 果 应 用 数据 变化 量 不 大 ，S3 会 是 一 个 很 好 的 选择 。 如 果真 的 需要 一 个 共 
享 的 文件 系统 ， 考 虑 使 用 Amazon EFS 或 者 设置 GlusterFS。 


一 一 


实例 存储 每 5min 使 用 每 30min 创 


rsync 备 份 数据 到 EBS 卷 建 一 个 快照 
—_ / — 
2 a 
个 NFS 客 户 端 挂 载 
NESSE SEII NESPA m Easten 
的 文件 〈 读 访问 和 写 
访问 ) a 


NFS 客 户 端 NFS 客 户 端 


图 8-4 NEFS 可 以 用 来 在 EC2 实 例 之 间 共 享 块 级 别 存储 


我 们 创建 一 个 CloudFormation 模 板 和 Bash 脚 本 来 把 这 个 系统 拓扑 
付 诸 实 现 。 需 要 按 顺 序 完成 下 面 的 步 又 : 


(1) 添加 安全 组 以 保证 NFS 的 安全 。 

(2) 添加 NFS 服 务 器 的 EC2 实 例 和 EBS 卷 。 
(3) 创建 安装 和 配置 脚本 到 NFS 服 务 器 。 
(4) 添加 NFS 客 户 端的 EC2 实 例 。 

下 面 开始 具体 的 操作 。 


8.4.1 NEFS 的 安全 组 


如 何 控制 应 用 程序 之 间 的 网 络 访问 ? 在 设计 安全 组 的 时 候 必须 回 
答 这 个 问题 。 为 了 简化 问题 〈 将 省 略 堡垒 主机 的 创建 过 程 ) ， 所 有 
EC2 实 例 将 允许 来 自 互联 网 (0.0.0.0/0) 的 SSH 访 问 。NFS 服 务 器 必须 
能 够 通过 NFS 所 需要 的 端口 访问 到 (TCP 和 UDP 协议 : 111, 2049) , 
但 是 只 有 客户 端 才 应 该 有 对 这 些 端口 访问 ， 如 代码 清单 8-2 所 示 。 


代码 清单 8-2 NFS 服务 配置 安全 组 


"SecurityGroupClient": { - -安全 组 关联 到 NFS 客户 端 。 这 个 安全 组 不 包含 


任何 规则 : 仅 用 来 标记 来 自 客 户 端的 流量 
"Type": "AWS: :EC2::SecurityGroup"， 
"Properties": { 
"GroupDescription": "My client security group", 
"VpciId": {"Ref": "VPC"} 


ty 
"SecurityGroupServer": { 一- -关联 到 NFS 服务 器 的 安全 组 
"Type": "AWS: :EC2::SecurityGroup"， 
"Properties": { 
"GroupDescription": "My server security group", 
"VpciId": {"Ref": "VPC"}, 


"SecurityGroupiIngress": [{ 
"SourceSecurityGroupId": {"Ref": "SecurityGroupClient"}, 


一- -人 允许 来 自 NFS 客户 端 (选择 客户 端 安全 组 作为 允许 来 源 ) 的 所 有 入 站 访问 (TCP 协 
议 ) 


"IpProtocol": "tcp", 
"FromPort": 111, 
"ToPort": 111 


}, { 
"SourceSecurityGroupId": {"Ref": "SecurityGroupClient"}, 
"IpProtocol": "udp", =- -人 允许 访问 端口 111 (UDP 协议 ) 


"FromPort": 111, 
"ToPort": 111 


}, { 


"SourceSecurityGroupId": {"Ref": "SecurityGroupClient"}, 
"IpProtocol": "tcp", 一- -人 允许 来 自 NFS 客户 端的 入 站 流量 访问 nfsd 
服务 的 端口 2049 


"FromPort": 2049, 
"ToPort": 2049 


}, { 
"SourceSecurityGroupId": {"Ref": "SecurityGroupClient"}, 


"IpProtocol": "udp", 
"FromPort": 2049, 
"ToPort": 2049 
}] 
} 
ty 
"SecurityGroupCommon": { <- -关联 到 NFS ARS as A Pe eZ 
"Type": "AWS::EC2::SecurityGroup", 
"Properties": { 


"GroupDescription": "My security group", 
"VpciId": {"Ref": "VPC"}, 
"SecurityGroupIngress": [{ 一- -允许 来 自 互联 网 的 SSH 入 站 流量 


"CidrIp": "0.0.0.0/0", 
"FromPort": 22, 
"IpProtocol": "tcp", 
"ToPort": 22 


}] 


有 趣 的 是 SecurityGroupClient 没有 定义 任何 规则 。 它 只 用 
来 标记 来 自 NFS 客 户 端的 访问 。SecurityGroupServer 使 用 
SecurityGroupClient 识别 被 多 许 NFS 客 户 端 访问 的 源 地 址 。 


8.4.2 NEFS 服 务 器 和 卷 


NFS 服 务 器 的 实例 类 型 必须 提供 一 个 实例 存储 。 本 例 将 用 到 
m3.medium 实 例 ， 因 为 它 是 自 带 实例 存储 的 最 便宜 的 实例 类 型 ， 虽 然 
它 只 提供 4 GB 容 量 。 如 果 需 要 更 大 的 容量 ， 你 必须 选择 其 他 的 实例 类 
型 。 这 人 台 服 务 器 关联 了 两 个 安全 组 : SecurityGroupCommon 人 允许 
SSH 访 问 ，SecurityGroupServer 允许 NFS 相 关 的 端口 访问 。 这 台 
服务 器 必须 在 启动 的 时 候 安 装 和 配置 NFS 服 务 ， 所 有 你 将 用 到 一 个 
bash 脚 本 ;你 将 在 下 面 的 步骤 中 创建 该 脚本 。 使 用 bash 脚 本 提供 更 好 
的 可 读 性 一 一 因为 有 时 UserData 格式 很 烦琐 。 为 了 防止 数据 丢失 ， 
将 创建 一 个 EBS 卷 来 作为 实例 存储 的 备份 ， 如 代码 清单 8-3 所 示 。 


代码 清单 8-3 ”NEFS 服 务 器 和 卷 


"Server": { 
"Type": "AWS::EC2::Instance", 
"Properties": { 


"TamInstanceProfile": {"Ref": "InstanceProfile"}, 

"ImageId": "ami-1ecae776", 

"InstanceType": "m3.medium", <—--m3.medium 提供 4GB 容 量 的 SSD 实 
例 存储 


"KeyName": {"Ref": "KeyName"}, 
"SecurityGroupiIds": [{"Ref": "SecurityGroupCommon"}, 
{"Ref": "SecurityGroupServer"}], 一- -使 用 服务 器 的 安全 组 来 过 滤 
网 络 访问 
"SubnetId": {"Ref": "Subnet"}, 
"BlockDeviceMappings": [{ 


"Ebs": { 一- -映射 根 EBS 卷 到 /dev/xvda 
"VolumeSize": "8", 
"VolumeType": "gp2" 
ty 
"DeviceName": "/dev/xvda" 
, { 
"VirtualName": "ephemeralo", -- -映射 实例 存储 到 /dev/xvdb 
"DeviceName": "/dev/xvdb" 
}], 


"UserData": {"Fn::Base64": {"Fn::Join": ["", [ 
"#!/bin/bash -ex\n", 
"curl -s https://[...]/nfs-server-install.sh | bash -ex\n" 
~- -下 载 并 执行 安装 脚本 ( 仅 从 可 信任 来 源 下 载 ! ) 
]]}} 


} 
ty 
"Volume": { 
"Type": "AWS: :EC2::Volume", -- -创建 5GB 的 备份 存储 (容量 足够 备份 
4GB 的 实例 存储 ) 
"Properties": { 
"AvailabilityZone": {"Fn::GetAtt": ["Server", 
"AvailabilityZone"]}, 
"Size": "E 
"VolumeType": "gp2" 


} 
"VolumeAttachment": { 
"Type": "AWS: :EC2::VolumeAttachment", 一 -将 卷 附 加 到 服务 器 
(至 /dev/xvdf) 
"Properties": { 
"Device": "/dev/xvdf", 
"InstanceId": {"Ref": "Server"}, 
"VolumeId": {"Ref": "Volume"} 
} 
} 


现在 你 可 以 在 启动 的 时 候 安装 和 配置 NFS 服 务 器 了 。 


8.4.3 ” ”NFS 服务器 安装 和 配置 脚本 


为 了 运行 NFS， 用 户 需 要 使 用 yum 安装 相关 的 软件 并 且 配 置 和 启 


动 服务 。 为 了 定期 备份 实例 存储 的 数据 ， 用 户 还 需要 挂 载 EBS 卷 并 且 
定时 运行 cron 作 业 来 复制 数据 到 EBS 卷 。 最 后 ， 将 从 EBS 卷 创建 一 个 
EBS 快 照 。 安 装 和 配置 脚本 如 代码 清单 8-4 所 示 。 


代码 清单 8-4 ” ”NFS 安装 和 配置 脚本 


#!/bin/bash -ex 


yum -y install nfs-utils nfs-utils-lib - -安装 NFS 软件 包 

service rpcbind start - -启动 rpcbind 进程 (NFS 的 依赖 ) 

service nfs start 一- -启动 NFS 进程 

chmod 777 /media/ephemeralo - -人 允许 用 户 读 写实 例 存储 卷 

echo "/media/ephemeralO *(rw,async)" >> /etc/exports 一- -使 用 NFS 


导出 实例 存储 卷 给 其 他 的 NFS AAN 


= 


exportfs -a -- -重新 加 载 以 应 用 修改 后 的 配置 


while ! [ "$(fdisk -1 | grep '/dev/xvdf' | wc -1)" -ge "1" ]; \ 
~- - 挂 载 EBS & 
do sleep 10; done 


if [[ "$(file -s /dev/xvdf)" != *"ext4"* ]] 一 -如果 还 不 是 ext4 X 
件 格式 ， 则 格式 化 EBS 卷 (第 一 次 启动 服务 器 时 进行 该 操作 ) 
then 
mkfs -t ext4 /dev/xvdf 
fi 


mkdir /mnt/backup 

echo "/dev/xvdf /mnt/backup ext4 defaults,nofail 0 2" >> 
/etc/fstab 

mount -a - -等 待 EBS 卷 创建 完成 


INSTANCEID=$(curl -s http://169.254.169.254/latest/meta- 
data/instance-id) 

VOLUMEID=$(aws --region us-east-1 ec2 describe-volumes \ 一- - 获 
得 EBS 卷 的 ID 

--filters "Name=attachment.instance-id, Values=$INSTANCEID" \ 
--query "Volumes[@].VolumeId" --output text) 


cat > /etc/cron.d/backup << EOF ~- -在 cron 作业 的 定义 中 复制 到 EOF 的 
所 有 文本 。 在 /etc/dron.d/ 目 录 中 保存 cron 作业 的 定义 


SHELL=/bin/bash 
PATH=/sbin:/bin:/usr/sbin:/usr/bin:/opt/aws/bin -- - fff 
tR/opt/aws/bin 在 执行 路 径 中 ， 以 方便 运行 AWS 命令 

MAILTO=root 


HOME=/ 

*/15 * * * * root rsync -av --delete /media/ephemeral0/ 
/mnt/backup/ ; \ ~- -每 15 min 从 实例 存储 卷 同 步 数 据 到 EBS & 
fsfreeze -f /mnt/backup/ ; \ -- -冻结 EBS 卷 以 创建 一 致 的 快照 


aws --region us-east-1 ec2 create-snapshot --volume-id $VOLUMEID ; 
\ <--fAUREBS 卷 

fsfreeze -u /mnt/backup/ -- -创建 EBS 快照 

EOF 


因为 脚本 会 通过 命令 行 工 具 调 用 AWS API, Se ;要 权限 来 
调用 这 些 API。 我 们 将 通 Bit 过 使 用 IAM 角 色 的 方式 来 给 EC2 进 行 授权 ， 如 


代码 清单 8-5 所 示 。 


代码 清单 8-5 IAME 


"InstanceProfile": { 
"Type": "AWS::IAM::InstanceProfile", <--7ENFS 服务 器 上 附加 IAM 
配置 文件 
"Properties": { 
"Path": k 
"Roles": [{"Ref": "Role"}] 


"Type": "AWS::IAM::Role", 一- -定义 IAM 
"Properties": { 
"AssumeRolePolicyDocument": { 
"Version": "2012-10-17", 
"Statement": [{ 
"Effect": "Allow", 
"Principal": { 
"Service": ["ec2.amazonaws.com" | 
ty 
"Action": ["sts:AssumeRole" ] 
}] 
ty 
"Path": "/",; 
"Policies": [{ 
"PolicyName": "ec2", 
"PolicyDocument": { 
"Version": "2012-10-17", 
"Statement": [{ 
"Sid": "Stmt1425388787000", 
"Effect": "Allow", 
"Action": ["ec2:DescribeVolumes", "ec2:CreateSnapshot"], 
-- -在 大 量 小 文件 时 使 用 rsync 工具 
"Resource": ["*"] 


如 果 用 户 的 场景 中 需要 访问 海量 的 小 文件 〈 超 过 100 万 个 小 文件 ，rsync 将 花费 大 
量 的 时 间 ， 并 且 消 耗 CPU 周 期 。 可 以 考虑 使 用 DRBD 来 异步 地 从 实例 存储 同步 数据 到 EBS 
卷 。 设 置 过 程 会 稍微 复杂 些 (如 果 使 用 的 是 Amazon Linux) ， 但 是 可 以 获得 更 好 的 性 能 。 


还 有 一 个 操作 没有 完成 ， 配 置 客户 端 。 我 们 稍 后 将 完成 。 
8.4.4 NFS 客户 端 


NFS 共 享 可 以 被 多 个 客户 端 挂 载 。 为 了 演示 ， 使 用 两 个 客户 端 
Client1 和 Client2 就 足够 了 。Client2 是 Client1 的 副本 。 


NFS 客 户 端 代 码 如 代码 清单 8-6 所 示 。 


代码 清单 8-6 NEFS 客 户 端 


"Clienti": { 
"Type": "AWS::EC2::Instance", 
"Properties": { 
"ImageId": "ami-1ecae776", 
"InstanceType": "t2.micro", 
"KeyName": {"Ref": "KeyName"}, 
Boyle a [{"Ref": "SecurityGroupCommon"}, =- -将 
日 与 客户 端 安全 组 联系 起 来 


{"Ref": "SecurityGroupClient"}], 
"SubnetId": {"Ref": "Subnet"}, 
"UserData": {"Fn::Base64": {"Fn::Join": ["", [ 


"#!/bin/bash -ex\n", 
"yum -y install nfs-utils nfs-utils-lib\n", 
"mkdir /mnt/nfs\n", 
"echo \"", {"Fn::GetAtt": ["Server", "PublicDnsName"]}, 

~- -将 NFS HERA SAFstab 

":/media/ephemeralO /mnt/nfs nfs rw © O\" >> /etc/fstab\n", 
"mount -a\n" 一 - - 挂 载 NFS 共享 
1]}} 
} 


现在 可 以 体验 一 下 如 何 通过 NFS 来 共享 文件 。 


8.4.5 ”通过 NEFS 共 享 文件 


为 了 帮助 读者 研究 NFS， 本 书 提 供 了 一 个 CloudFormation 模 板 ， 位 


于 https://s3.amazonaws. com/awsinaction/chapter8/nfs.json ° 


BI PIAA Am3 medium eR A arte) A 
言 筷 ， 可 以 访问 AWS 官 方 网 


上 费用 。 


想 了 解 当前 每 小 时 的 价格 


建 一 个 堆栈 ， 在 输出 中 复制 CLient1Pub1icName 
字段 ， 通 过 SSH 登 录 到 主机 。 


在 /mnt/nfs/ 目 录 下 创建 文件 : 


$ touch /mnt/nfs/test1 


现在 ， 在 堆栈 输出 中 复制 Client2PublicName 并 SSH 登 录 到 第 
二 台 客 户 端 。 在 /mntnfs/ 下 列 出 所 有 文件 : 


$ ls /mnt/nfs/ 


testi 


太 棒 了 。 我 们 现在 可 以 在 多 台 EC2 实 例 之 间 共 享 文件 了 。 


在 本 他 经 


源 被 收取 费用 。 


束 时 别 志 了 删除 堆栈 来 清除 所 有 用 过 的 资源 ， 否 则 很 可 能 会 因为 使 用 这 些 资 


8.5 小结 


。 数据 块 存储 可 用 配合 EC2 实 例 来 使 用 ， 因 为 操作 系统 需要 块 级 别 
的 存储 (包括 分 区 、 文 件 系统 和 读 / 写 系统 调用 ) 。 


。EBS 卷 通过 网 络 连接 到 EC2 实 例 。 根 据 实 例 类 型 的 不 同 ， 网 络 连 
接 的 带宽 也 不 同 。 

。EBS 快 照 功能 提供 了 强大 的 工具 来 把 EBS 卷 的 数据 备份 到 S3， 
为 它们 使 用 的 是 数据 块 级 别 的 增 量 的 复制 方式 。 

。 实 例 存储 是 EC2 实 例 的 一 部 分 ， 快 速 且 廉价 。 但 是 在 EC2 实 例 停 
止 或 者 终结 的 时 候 ， 实 例 存 储 上 的 数据 会 丢失 o 

。 可 以 使 用 NFS 在 EC2 实 例 之 间 共 享 文件 。 


Bom HAKABGAEIRS: RDS 


本 章 主要 内 容 


。 使 用 RDS 来 局 动 和 初始 化 关系 数据 库 
创建 和 使 用 快照 来 恢复 数据 库 
设置 高 可 用 的 数据 库 

调整 数据 库 的 性 能 

监控 数据 库 


关系 数据 库 是 业界 存储 和 查询 结构 化 数据 的 事实 上 的 标准 ， 许 多 
应 用 程序 都 搭建 在 MySQL、Oracle 数 据 库 、 和 微软 SQL Server 或 者 
PostgreSQL 这 样 的 关系 数据 库 上 。 典 型 的 天 系数 据 库 专 注 提 供 数据 一 
致 性 和 保证 ACID 的 数据 库 事务 (原子 性 、 一 任性、 隔离 性 和 持久 性 ) 
的 功能 。 关 系数 据 库 的 典型 任务 是 在 财务 应 用 中 存储 和 查询 像 账 户 、 
交易 这 样 的 结构 化 的 数据 。 


如 采 想 在 AWS 上 使 用 一 个 关系 数据 库 ， 有 以 下 两 个 选择 。 


。 使 用 托管 的 数据 库 服 务 ， 如 Amazon RDS， 由 AWS 提 供 。 
。 在 虚拟 服务 右上 目 己 搭建 关系 数据 库 。 


亚马逊 关系 数据 库 服务 (Amazon RDS) 提供 了 方便 、 可 用 的 关 
系数 据 库 。 在 底层 ，Amazon RDS 运 行 一 个 常见 的 关系 数据 库 。 在 本 
书 编写 的 时 候 ， 它 支持 MySQL、Oracle Database、 微 软 SQL Sever 和 
PostgreSQL!!! 。 如 果 应 用 程序 使 用 上 述 的 几 种 关系 数据 库 的 引擎， 迁 
移 到 Amazon RDS 将 非常 容易 。 


| (U 现在 额外 添加 了 对 Amazon Aurora 和 MariaDB 的 支持 。 一 一 译 者 注 


a 
f Amazon Aurora 已 绎 友 


AWS 发 布 了 一 款 新 的 数据 库 引 擎 叫 作 Amazon Aurora。Aurora 兼 容 MySQL， 但 是 以 更 
低 的 成 本 提供 更 好 的 可 用 性 和 性 能 。 你 可 以 用 Aurora 来 替代 MySQL 。 访问 AWS 官 方 网 站 ， 
可 以 了 解 更 多 信息 


minal 的 服务 。 服务 e e 
VL DA RY 
的 服务 Amazon RDS 服 务 关系 数据 库 的 运 维 管理 。 表 9-1 比 较 


了 使 用 RDS 数 据 库 mates ERESI 的 区 别 。 
表 9-1 托管 服务 RDS 和 虚拟 服务 器 上 自 建 数据 库 的 比较 


因为 RDS 的 成 本 高 PER 
ROER 以 服务 器 ， 因 为 EC2 虚 拟 服务 器 比 RDS 便 宜 


更 低 ， 因 为 更 多 客户 分 摊 了 
运 维 成 本 


尔 需要 搭建 专业 团队 和 进 1 


因为 你 可 以 选择 数据 库 ”| 更 高 ， 因 为 你 可 AFERI See 让 虚拟 服务 
引 列 和 修改 配置 参数 器 上 的 数据 库 的 每 个 部 分 


在 虚拟 服务 器 上 搭建 关系 数据 库 需 要 大 量 的 时 间 和 技能 ， 所 以 推 
荐 在 尽 可 能 的 情况 下 ， 使 用 Amazon RDS 提 供 :需要 的 关系 数据 座 以 
降低 成 本 和 改善 质量 。 这 是 为 什么 在 本 书 中 不 会 介绍 如 何在 EC2 上 和 目 
己 搭建 天 系数 据 库 。 相 反 的 ， 我 们 将 介绍 Amazon RDSAYZHT © 


在 本 章 中 ， 我 们 将 使 用 Amazon RDS 启 动 一 个 MySQL 数 据 库 。 第 2 
章 介绍 的 WordPress 搭 建 使 用 图 9-1 所 示 的 架 e 构 ， 在 本 章 中 我 们 将 再 次 
使 用 这 个 示例 ， 但 是 这 次 专注 于 数据 库 的 部 分 。 在 基于 Amazon RDS 
的 MySQL 数 据 库 运行 起 来 以 后 ， 你 将 了 解 如 何 导 入 数据 ， 备 份 和 恢复 
a 如 搭建 高 可 用 的 数据 库 和 改善 性 能 的 内 容 将 随 


安全 组 像 防火 墙 一 样 工 作 。 


AWS 用 安全 组 来 保护 你 的 
系统 不 被 恶意 流量 攻击 
“= ap YN 
M WornPress MySQL 
分 发 流量 到 单独 的 数据 库 
Web 服 务 器 防火 墙 已 提升 性 能 防火 墙 
g 2 — e 
F 防火 墙 | -一 一 一 
负载 均衡 器 Web 服 务 器 数据 库 
负载 均衡 器 (ELB) 服务 弹性 计算 云 (EC2) 是 一 个 关系 数据 库 服务 (RDS) 
是 一 个 SaaS 软 件 即 服务 ， 提供 虚拟 服务 器 (Linux 和 是 一 个 SaaS 软 件 即 服务 ， 
提供 托管 的 负载 均衡 器 。 Windows 系 统 ) 的 laaS 基 础 提供 托管 的 MySQL 数 据 库 。 
该 服务 默认 容错 架构 即 服 务 。 你 可 以 在 上 面 AWS 负 责备 份 ， 补 丁 更 新 
安装 任何 软件 和 复制 的 操作 


图 9-1 公司 的 博客 系统 包含 两 个 负载 均衡 的 人 台 运 行 MySQL 
数据 库 的 服务 


gal ye 示例 都 包含 在 免费 套餐 中 。 只 要 不 是 运行 这 些 示例 好 几 天 ， 就 不 需要 支 


付 任 何 费用 E 这 仅 适 用 于 读者 为 学 习 本 书 刚刚 名 | 建 的 全 新 AWS 账 户 ， 并 且 在 这 个 
AWSE Bie 其 他 活动 。 尽 量 在 几 天 的 时 间 里 完成 本 章 中 的 示例 ， 在 每 个 示例 完成 后 务 
Nae EI 


本 章 中 的 示例 使 用 一 个 用 于 WordPress 应 用 的 MySQL 数 据 库 。 用 
户 可 以 轻松 地 把 学 到 的 知识 应 用 在 其 他 如 Oracle 数 据 库 、 微 软 SQL 
Server 和 PostgreSQL ， 以 及 WordPress 以 外 的 其 他 应 用 程序 。 


9.1 ”启动 一 个 MySQL 数 据 库 


流行 的 博客 平台 台 WordPress 搭 建 在 MySQL 关 系数 据 库 上 。 如 果 你 

想 在 自己 的 服务 器 上 搭建 博客 ， 则 需要 运行 PHP 应 用 程序 (例如 ， 安 
J Apache Web 服 务 器 ) ， 并 且 需 要 操作 一 个 MySQL 数 据 库 ， 以 存放 

WordPress 的 文章 、 评论 和 作者 信息 。Amazon RDS 以 服务 的 方式 提供 
MySQL 数 据 库 。 你 不 再 需要 自己 安装 、 配 置 和 操作 MySQL 数 据 库 。 


9.1.1 用 Amazon RDS 数 据 库 局 动 WordPress 平 


人 
口 


局 动 一 个 数据 库 包含 两 个 步骤 。 
(1) 局 动 一 个 数据 库 实例 。 
(2) 连接 应 用 程序 到 数据 库 的 端点 


我 们 需要 使 用 第 2 章 中 的 CloudFormation 模板 来 创建 WordPress 
博客 平台 和 MySQL 数 据 库 。 你 还 将 在 模板 里 使 用 Amazon RDS 服 务 。 
你 可 以 在 下 载 的 源 代码 中 找到 该 模板 ， 我 们 要 用 的 模板 位 于 
chapter9/template.json ° 同样 的 文件 也 保存 在 S3 上 下 面 的 位 置 


https://s3.amazonaws.com/ awsinaction/chapter9/template.json ° 


执行 下 面 的 命令 来 创建 包含 一 个 MySQL 引 警 的 RDS 实 例 和 服务 
WordPress 应 用 的 Web 服 务 器 


$ aws cloudformation create-stack --stack-name wordpress -- 
template-url \ 
https://s3.amazonaws.com/awsinaction/chapter9/template.json \ 


--parameters ParameterKey=KeyName, ParameterValue=mykey \ 
ParameterKey=AdminPassword, ParameterValue=test1234 \ 
ParameterKey=AdminEMail, ParameterValue=your@mail.com 


CloudFormation 扒 栈 的 创建 大 概 需 要 几 分钟 的 时 间 ， 上 所 以 你 有 充 
分 的 时 间 来 了 解 RDS 数 据 库 实例 的 细 广 。 代 码 清 单 9-1 给 出 了 用 于 创建 
wordpress 堆栈 的 CloudFormation 模 板 的 一 些 组 件 。 


WordPress 使 用 MySQL 数 据 库 来 保存 文章 和 用 户 信 息 。 但 是 默认 情况 下 ，WordPress 在 


本 地 文件 系统 的 wp-content 昌 > 户 上 传 的 媒体 文件 和 插件 。 这 样 的 架构 不 是 无 状态 
的 设计 。 这 种 架构 下 你 无 法 使 用 多 台 服 务 器 提供 服务 ， 因 为 只 有 一 台 服 务 器 上 保存 有 用 户 
上 传 的 媒体 文件 和 插件 。 


T 


本 章 中 的 示例 并 不 完整 ， 因 为 它 没有 解决 
感 兴趣 ， 可 以 查看 第 14 章 的 内 容 。 第 14 章 将 介绍 通过 自动 化 配置 虚拟 服务 器 的 方式 来 


面 提 到 的 问题 。 如 果 对 如 何 解决 这 个 Bes 
A 


感 
安装 插件 ， 并 且 将 把 媒体 文件 上 传 到 对 象 存储 进行 保存 。 


表 9-2 展 示 了 在 管理 控制 台 上 使 用 CloudFormation 创 建 RDS 数 据 库 
所 需要 的 一 些 属性 。 


表 9-2 ”创建 RDS 数 据 库 需 要 的 属性 


本 本 本 


全 数据 库 引 警 (MySQL、Oracle 数 据 库 、Microsoft SQL 服务 
器 或 者 PostgreSQL) 


= 


RDS 数 据 库 可 以 部 署 在 一 个 虚拟 的 私有 网 络 中 (VPC) 。 推荐 用 


户 这 么 做 以 保护 数据 ， 而 且 不 要 部 署 一 个 公 网 IP 地 址 给 数据 库 。 在 
VPC 中 部 团 RDS 数 据 库 的 情况 下 ， 可 以 使 用 私有 IP 地 址 来 和 RDS 实 例 
通信 。 这 样 数据 库 不 会 直接 在 互联 网 上 被 访问 到 。 如 果 想 在 VPC 里 部 
署 RDS 实 例 ， 需 要 指定 数据 库 所 在 的 子 网 ， 如 代码 清单 9-1 所 示 。 


代码 清单 9-1 创建 RDS 数 据 库 的 CloudFormation 模 板 代 码 片段 


fakes 
"Resources": { 
loas] 
"DatabaseSecurityGroup": { 一- -数据 库 实例 的 安全 组 ， 人 允许 来 自 web 服 


务 器 流量 访问 MySQL 默认 端口 
"Type": "AWS::EC2::SecurityGroup", 
"Properties": { 
"GroupDescription": "awsinaction-db-sg", 
"VpcId" : {"Ref" : "VPC"}, 
"SecurityGroupiIngress": [{ 
"TpProtocol": "tcp", =- -MySQL 的 默认 端口 是 3306 
"FromPort": "3306", 
"ToPort": "3306", 
"SourceSecurityGroupId": { 


"Ref": "WebServerSecurityGroup" ~- -引用 Web 服务 器 所 在 的 
安全 组 
} 
}] 
J 
ty 
"Database": { 
"Type": "AWS: :RDS::DBInstance", =- -创建 亚马逊 RDS 数 据 库 实例 
"Properties": { 
"AllocatedStorage": "5", -- -数据 库 提供 5 GB 容量 
"DBInstanceClass": "db.t2.micro", =- -数据 库 服 务 器 的 实例 类 型 
是 t2.micro， 可 选 的 最 小 的 实例 类 型 
"DBInstanceldentifier": "awsinaction-db", ---RDS 数据 库 的 
标识 符 
"DBName": "wordpress", -- -创建 名 为 wordpress 的 默认 的 数据 库 
"Engine": "MySQL", ~- -使 用 MySQL 作为 数据 库 的 引擎 
"MasterUsername": "wordpress", =- -MYSQL 数据 库 的 主 用 户 的 用 
PS 
"MasterUserPassword": "wordpress", ---MySQL 数据 库 主 用 户 的 
密码 
"VPCSecurityGroups": [ 
{"Fn::GetAtt": ["DatabaseSecurityGroup", "GroupId"]} 
1, =- -引用 数据 库 的 安全 组 名 称 
"DBSubnetGroupName" : 
{"Ref": "DBSubnetGroup"} <—--7ELRDS 数据 库 实 例 将 启动 在 哪个 
子 网 
} 
ty 
"DBSubnetGroup" : { 
"Type" : "AWS::RDS::DBSubnetGroup", =- -创建 子 网 组 来 定义 数据 库 


实例 所 在 的 子 网 


"Properties" : { 
"DBSubnetGroupDescription" : "DB subnet group", 
"SubnetIds": [ 
{"Ref": "SubnetA"}, 
{"Ref": "SubnetB"} 
] 一- -在 子 网 A 或 者 子 网 B 中 启动 RDS 数据 库 实 例 


使 用 下 面 的 命令 检查 名 为 wordpress 的 CloudFormation 堆 栈 是 否 
进入 CREATE_COMPLETE 状态 : 


$ aws cloudformation describe-stacks --stack-name wordpress 


在 输出 栏 中 查找 StackStatus 堆 栈 状态 ， 并 有 旦 查看 是 否 状态 已 经 为 
CREATE_COMPLETE 创建 完成 。 如 果 不 是 ， 再 等 待 几 分 钟 (创建 堆栈 
可 能 需要 多 达 15 min) ， 然 后 再 运行 该 命令 。 当 状态 已 经 为 
CREATE_COMPLETE 时 ， 你 将 在 输出 部 分 看 到 Outputkey 属性 。 对 
应 的 OutputValue 包含 了 WordPress 博 客 平台 的 URL 连 接 。 代 码 清单 
9-2 给 出 了 详细 的 输出 。 在 浏览 器 中 打开 该 URL 连 接 ， 你 将 看 到 一 个 正 
在 运行 的 WordPress 服 务 。 


代码 清单 9-2” 检查 CloudFormation 堆 栈 的 状态 


$ aws cloudformation describe-stacks --stack-name wordpress 
{ 
"Stacks": [{ 
"StackId": "™,,.", 
"Description": "AWS in Action: chapter 9", 
"Parameters": [{ 
"ParameterValue": "mykey", 
"ParameterKey": "KeyName" 
}], 
"Tags": [], 
"Outputs": [{ 


"Description": "Wordpress URL", 
"OutputKey": "URL", 
"QutputValue": "http://[...].com/wordpress" =- -在 浏览 器 中 打 
此 URL 超 链接 访问 WordPress 博 客 程序 
}], 
"StackStatusReason": "", 
"CreationTime": "2015-05-16T06:30:40.515Z", 
"StackName": "wordpress", 
"NotificationARNs": 
"StackStatus": "CREATE_COMPLETE", -- -等 竺 CloudFormation 堆 栈 
完成 创建 
"DisableRollback": false 
}] 
} 


启动 和 操作 一 个 MySQL 这 样 的 数据 库 就 是 这 么 简单。 当然 ， 除 了 
使 用 CloudFormation 的 模板 外 ， 你 也 可 以 使 用 管理 控制 台 来 启动 一 个 
RDS 数 据 库 实 例 模板 。RDS 是 一 个 托管 的 服务 ，AWS 负 责 大 部 分 的 操 


作 任 务 来 保证 数据 库 是 安全 和 可 靠 的。 你 只 需要 专注 在 下 面 的 任务 。 


监控 数据 库 的 可 用 存储 空间 ， 确 保 在 需要 的 时 候 增 加 存储 空间 。 
监控 数据 库 的 性 能 ， 确 保 在 需要 的 时 候 增 加 MO 性 能 和 计算 性 能 。 


这 两 样 工作 都 可 以 使 用 CloudWwatch 监 探 来 帮助 完成 ， 稍 后 将 了 解 
这 部 分 内 容 。 


9.1.2 ”探索 使 用 MySQL3 引 擎 的 RDS 数 据 库 实 例 


CloudFormation 堆 栈 创建 了 一 个 带 MySQL3| 擎 的 RDS 数 据 库 。 
个 RDS 数 据 库 都 提供 了 一 个 端点 来 接受 SQL 请 求 。 应 用 程序 可 以 发 送 
请 求 到 这 个 端点 来 查询 和 存储 数据 。 使 用 describe 命令 可 以 获得 端 
点 和 其 他 的 详细 信息 : 


$ aws rds describe-db-instances 


这 个 请 求 的 输出 包含 了 代码 清单 9-2 所 示 的 RDS 数 据 库 实例 的 详细 
信息 。 连 接 到 RDS 数 据 库 所 需 的 最 重要 的 几 个 属性 如 表 9-3 所 示 。 


表 9-3 ”连接 到 RDS 数 据 库 所 需要 的 属性 


库 端点 的 主机 名 和 端口 ， 以 便 应 


Fz 332, 


程序 连接 到 数 和 
响 点 接受 SQL 命令 


动 时 目 动 创建 的 默认 数据 库 


IPRA PE bes eal 你 必须 记 住 密码 或 


了 户 可 以 创建 额外 的 数据 库 
R 具体 的 步骤 取决 于 具体 ae 


数据 库 实例 使 用 的 数据 库 


型 。 本 例 中 十 MySQL 


这 里 有 很 多 其 他 属性 。 你 将 在 本 章 稍 后 了 解 到 关于 它们 的 更 多 的 
信息 。 代 码 清单 9-3 描 述 了 MySQL 关 系数 据 库 的 实例 。 


代码 清 i 


和 9-3 ”描述 MySQL RDS 数 据 库 实例 


"DBInstances": [{ 


"PubliclyAccessible": false, 一- -该 数据 库 无 法 从 互联 网 访问 到 -只 可 
以 从 私有 网 络 (VPC) 访问 
"MasterUsername": "wordpress", =- -MYSQL 数据 库 的 主 用 户 的 用 户 名 
"LicenseModel": "general-public-license", 
"VpcSecurityGroups": [{ 
"Status": "active", 
"VpcSecurityGroupId": "sg-7a84aaie" =- -数据 库 的 安全 组 ， 只 人 允许 
Web 服务 需 访 问 3306 端口 
}], 
"InstanceCreateTime": "2015-05-16T06:40:33.107Z", 
"OptionGroupMemberships": [{ 
"Status": "in-sync", 
"OptionGroupName": 


"default :mysql-5-6" 


-- -选项 组 用 于 额外 的 数 


据 库 相关 的 配置 


}], 
"PendingModifiedValues": {}, 
"Engine": "mysql", -- -数据 库 实 例 运 行 的 是 MySQL 引擎 
"MultiAz": false, ~- -没有 启用 高 可 用 的 设置 。 在 9.5 节 你 将 了 解 如 何 设 
"LatestRestorableTime": "2015-05-16T08:00:00Z", 
"DBSecurityGroups": [], 
"DBParameterGroups": [{ 
"DBParameterGroupName": "default.mysql5.6", 
"ParameterApplyStatus": "in-sync" -- -参数 组 用 于 配置 数据 库 引 警 
的 参数 
}], 
"AutoMinorVersionUpgrade": true, ~- -RDS 将 自动 进行 数据 库 的 小 版 
本 补丁 升级 
"PreferredBackupWindow": "06:01-06:31", -- -每 天 创建 数据 库 快照 


的 时 间 窗 口 (UTC 时 间 ) 
"DBSubnetGroup": { 

"Subnets": [{ 一- -用 于 启动 数据 库 实 例 的 子 网 
"SubnetStatus": "Active", 
"SubnetIdentifier": "subnet-f045c9db", 
"SubnetAvailabilityZone": { 

"Name": "us-east-1a" 
} 


}, { 


"SubnetStatus": "Active", 
"SubnetIdentifier": "subnet-42e4a235", 
"SubnetAvailabilityZone": { 


"Name": "us-east-1b" 
} 
}], 
"DBSubnetGroupName": "wordpress-dbsubnetgroup-1lbc2t9palsej", 
"VpcId": "vpc-941e29f1", =- -启动 数据 库 实 例 的 私有 网 络 (VPC) 


"DBSubnetGroupDescription": "DB subnet group", 
"SubnetGroupStatus": "Complete" 


ty 

"ReadReplicaDBInstanceIdentifiers": [], ---RDS 人 允许 为 某 些 数据 
库 实 例 创 建 读 副 本 。 这 将 在 9.6 节 介 绍 

"AllocatedStorage": 5, 一- -数据 库 分 配 了 5 GB 的 存储 容量 。 用 户 可 以 
需要 的 时 候 增 加 容量 

"BackupRetentionPeriod": 1, -- -数据 库 快 照 备 份 将 保留 

"DBName": "wordpress", =- -默认 数据 库 的 名 称 

"PreferredMaintenanceWindow": "mon:06:49-mon:07:19", 一 - -RDS 


执行 数据 库 引 警 的 小 版 本 补丁 升级 的 时 间 窗 口 (每 周一 6:49 到 907:19，UTC 时 间 ) 
"Endpoint": { =- -数据 库 实 例 的 端点 ， 应 用 程序 用 来 发 送 SQL 请 求 。 本 例 


中 是 一 个 私有 IP 地 址 ， 因 为 该 数据 库 无 法 从 互联 网 访问 
"Port": 3306, 


"Address": "awSinaction-db.czwgnecjynmj.us-east - 
1.rds.amazonaws.com" 
}, 
"DBInstanceStatus": "available", =- -数据 库 的 状态 
"EngineVersion": "5.6.22", =- -数据 库 引 擎 的 版 本 为 MySQL 5.6.22 
"AvailabilityZone": "us-east-1b", =- -数据 库 实例 运行 的 数据 中 心 
"StorageType": "standard", -存储 类 型 为 标准 E 类 型 ， 即 物理 人 磁盘。 你 


将 在 后 续 章 节 了 解 SSD 固态 硬盘 和 预 配置 IOPS 性 能 的 存储 选项 。 
"DbiResourceId": "db-SVHSQQOW4CPNR57LYLFXVHYOVU", 
"CACertificateIdentifier": "rds-ca-2015", 


"StorageEncrypted": false, 一 - -表示 数据 写 入 磁盘 前 是 否 进行 加 密 
"DBInstanceClass": "db.t2.micro", -- -数据 库 运 行 的 虚拟 服务 器 的 实 
例 类 型 。db.t2.,micro 是 可 选 的 最 小 的 类 型 
"DBInstanceIdentifier": "awsinaction-db" =- -数据 库 实 例 的 标识 符 
}] 


} 


RDS 数 据 库 在 运行 ， 但 是 它 将 产生 多 少 成 本 ? 


9.1.3 Amazon RDS 的 定价 


Amazon RDS ENIE MBUA T Rz EMRA art) RÆ AN op Bic 
的 存储 容量 。 和 一 个 虚拟 服务 器 (EC2) 上 运行 的 数据 库 相 比 ， 大 概 
要 额外 付出 30% 的 成 本 。 ,在 我 们 看 来 Amazon RDS 服 务 值得 额外 的 成 
本 ， 因 为 你 不 再 需要 担心 典型 的 DBA 任 务 ， 如 安装 、 打 补丁 、 升 级 、 
迁移 、 备 份 和 恢复 。Forester 分 析 结 果 显 示 1 个 数据 库 管 理 员 大 概 需要 
花费 一 半 的 时 间 来 完成 这 些 任务 。 


表 9-4 展 示 了 在 美国 弗吉尼亚 北 区 域 的 中 等 规模 的 RDS 数 据 库 实例 


的 价格 ， 该 价格 不 包括 高 可 用 的 故障 切换 功能 
表 9-4 ”中 等 规模 的 RDS 实 例 的 月 度 成 本 


月 度 价格 (美元 ) 


四 库 实例 类 型 db.m3.medium 65.88 


额外 的 数据 库 快 照 容 量 (300 GB) 28.50 


我 们 已 经 为 WordPress 互 联网 应 用 启动 了 一 个 RDS 数 据 库 实 例 ， 下 
面 来 了 解 一 下 如 何 将 数据 导入 RDS 数 据 库 。 


9.2 ”将 数据 导入 数据 库 


没有 数据 的 数据 库 坚 无 用 处 。 通 常 你 需要 给 狐 的 数据 库 导 入 数 
据 。 在 从 目 有 机 房 迁 移 到 AWS 的 时 候 ， 还 需要 迁移 数据 库 的 数据 。 本 
部 分 将 指 We hs dump 数 据 到 使 用 MySQL 引 车 的 RDS 
数据 库 。 这 一 流程 和 其 他 所 有 数据 库 引擎 《Oracle 数 据 库 、 和 人 微软 SQL 
Server、 的 迁移 流程 也 相似 。 


要 从 数据 库 中 将 数据 导入 Amazon RDS 数 据 库 要 按照 下 面 的 步骤 


操作 
(1) 导出 自 有 数据 中 心里 的 数据 库 。 
(2) 在 RDS 数 据 库 所 在 的 区 域 的 同一 个 VPC 中 启动 一 台 虚 拟 服务 


(3) 把 数据 库 导出 的 dump 文 件 上 传 到 该 虚拟 服务 峰 
(4) 从 虚拟 服务 器 中 导入 数据 到 RDS 数 据 库 。 


我 们 将 略 过 导出 MySQL 数 据 库 数据 的 具体 步 又。 下面 的 内 容 介绍 
了 导出 现 有 的 MySQL 数 据 库 的 一 些 方法 。 


MysQL 和 其 他 所 有 的 数据 库 系统 都 提供 导出 和 导入 数据 库 的 方法 。 我 们 推荐 使 用 
MySQL 提 供 的 命令 行 工 具 来 导出 和 导入 数据 库 。 你 可 能 需要 安装 MySQL 客 户 端 工具 。 


下 面 的 命令 从 本 机 导出 所 有 数据 库 ， 并 且 把 它们 转 储 到 名 为 dump.sql 的 文件 。 需 要 将 
$UserName 替换 为 MySQL 的 admin 或 者 master 用 户 。 


$ mysqldump -u $UserName -p --all-databases > dump.sql 


还 可 以 仅 导 出 特定 的 数据 库 。 如 果 有 这 样 的 需求 ， 替 换 $DatabaseName 为 你 想 要 导 
出 的 数据 库 的 名 称 : 


$ mysqldump -u $UserName -p $DatabaseName > dump.sql 


当然 也 可 以 通过 网 络 连 接 来 导出 数据 库 。 要 连接 一 个 数据 库 来 导出 数据 ， 若 换 $Host 
为 主机 名 或 者 数据 库 的 JP 地址 。 


$ mysqldump -u $UserName -p $DatabaseName --host $Host > dump.sql 


如 果 需 要 了 解 mysqldump 的 更 多 信息 ， 可 查看 MySQL 文 档 。 


理论 上 讲 ， 你 可 以 从 任何 自 有 数据 中 心 的 服务 妖 或 者 本 地 网 络 导 
入 数据 库 到 RDS。 但 是 通过 互联 网 或 者 VPN 连 接 的 高 延 时 将 显著 拖 慢 
导入 的 过 程 。 因 此 推荐 进行 额外 的 步 又: 把 数据 库 的 转 储 文件 上 传 到 
和 RDS 数 据 库 位 于 相同 区 域 和 VPC 里 的 虚拟 服务 器 上 ， 然 后 从 那里 导 
入 数据 库 到 RDS ° 


要 完成 这 些 操作 ， 需 要 按照 下 面 的 步骤 操作 。 


(1) 获得 能 够 访问 RDS 数 据 库 的 虚拟 服务 器 的 公 网 IP (运行 
WordPress 应 用 的 虚拟 服务 器 ) 。 


(2) 通过 SSH 连 接 到 该 虚拟 服务 器 。 
(3) 从 S3 下 载 数据 库 的 dump 文 件 到 虚拟 服务 器 


(4) 从 RDS 数 据 库 运行 import 导 入 命令 从 虚拟 服务 器 导入 数据 库 
RDS ° 


注 运 的 是 ， 你 已 经 启动 了 两 台 可 以 连接 到 RDS 上 的 MySQL 数 据 库 
oa 。 在 本 机 上 运行 下 面 的 命令 获取 这 两 台 虚 拟 服 务 器 的 公 
XJ IPIE Hk: 


$ aws ec2 describe-instances --filters Name=tag-key,\ 
Values=aws:cloudformation:stack-name Name=tag-value, \ 


Values=wordpress --output text \ 
--query Reservations[0].Instances[0].PublicIpAddress 


建立 SSH 连 接 到 该 虚拟 服务 右 。 使 用 SSH 的 密 铀 mykey 来 认证 里 
份 ， 并 且 替 换 $Pub1icIpAddress 为 运行 WordPress 应 用 程序 的 虚拟 
服务 器 的 公 网 IP: 


$ ssh -i $PathToKey/mykey.pem ec2-user@$PublicIpAddress 


作为 示例 ， 我 们 准备 了 一 个 用 于 WordPress 博 客 的 MySQL 数 据 库 
的 转 储 文 件 。 使 用 下 面 的 命令 从 S3 上 下 载 该 转 储 文件 。 


$ wget https://s3.amazonaws.com/awsinaction/chapter9/wordpress- 


import.sql 


现在 已 经 就 绪 ， 可 以 开始 把 包含 wordPress 博 客 数据 的 转 储 文件 导 
入 到 RDS 数 据 库 实 例 。 你 将 需要 RDS 数 据 库 实例 上 的 MySQL 数 据 库 的 
端口 ， 主 机 名 《也 叫 作 端 点 ) 。 无 法 找到 端点 的 信息 ? 下 面 的 命令 可 
以 帮助 列 出 RDS 数 据 库 的 端点 。 在 本 机 上 运行 该 命令 : 


$ aws rds describe-db-instances --query DBInstances[0].Endpoint 


在 虚拟 服务 器 上 运行 下 面 的 命令 把 wordpress-import.sql 文 件 导 入 到 
RDS 数 据 库 实 例 ， 替 换 $DBHostName 为 之 前 的 命令 中 列 出 的 RDS 的 
端点 。 当 被 提示 输入 密码 的 时 候 输 入 Ww ordpress: 


$ mysql --host $DBHostName --user wordpress -p < wordpress- 
import.sql 


在 浏 咒 如 中 在 此 访问 WordPress 博 客 ， 你 将 看 到 很 多 新 的 发 帖 和 评 
E 在 本 机 输入 下 面 的 命令 来 重新 获 
X : 


$ aws cloudformation describe-stacks --stack-name wordpress \ 
--query Stacks[0].Outputs[0].OutputValue --output text 


93 ”备份 和 恢复 数据 库 


Amazon RDS 是 一 个 托管 的 服务 ， 但 是 你 仍然 需要 备份 数据 ， 这 
样 在 某 些 情况 下 或 者 被 某 些 人 损坏 了 数据 的 时 候 ， 仍 然 可 以 通过 快照 
及 时 恢复 数据 ， 你 也 可 以 复制 一 个 数据 库 到 同一 个 区 域 里 或 者 其 他 的 
区 域 。RDS 提 供 了 手动 快照 和 目 动 快照 的 功能 ， 并 且 可 以 对 RDS 数 据 
库 实 例 进 行 基于 时 间 点 的 恢复 。 


在 本 市 中 ， 读 者 将 了 解 如 何 使 用 RDS 快 照 : 


。 为 目 动 快照 配置 保留 期 限 和 时 间 窗 口 ; 
。 于 动 创建 快照 ; 

。 从 创建 的 快照 恢复 数据 库 到 一 个 新 的 数据 库 实 例 ; 

。 复 制 快照 到 其 他 的 区 域 ， 以 进行 跨 区 域 容 灾 或 者 数据 迁移 。 


93.1 配置 自动 快照 


在 9.1 节 中 创建 的 WordPress 博 客 的 RDS 数 据 库 可 以 目 动 为 数据 库 创 
建 快 照 。 在 每 天 特定 的 时 间 段 ，RDS 会 为 数据 库 创 建 全 自动 的 快照 。 
如 果 没 有 指定 特定 的 时 间 窗 口 ，RDS 会 在 晚上 随机 选择 一 个 30 min 的 
时 间 和 窗口 来 创建 快照 。 默 认 情 况 下 ， 全 上 自动 快照 在 一 天 后 会 被 删除 ; 
可 以 修改 保留 期 为 1~35 天 的 任意 时 间 段 。 


PER R re ES PTB EE ERE o XT CHE PRAY ER BY BES 
被 推迟 啊 应 ， 甚 至 在 超时 后 失败 ， 所 以 推荐 选择 一 个 对 应 和 用 户 影响 
最 小 的 时 间 段 进行 全 目 动 快照 的 操作 。 


下 面 的 命令 将 把 默认 的 目 动 快 照 时 间 窗 口 改 为 UTC 时 间 05:00 一 
06:00， 保 留 期 改 为 3 天 。 在 本 机 的 终端 上 执行 下 面 的 命令 : 


$ aws cloudformation update-stack --stack-name wordpress -- 
template-url \ 
https://s3.amazonaws.com/awsinaction/chapter9/template- 
snapshot.json \ 


--parameters ParameterKey=KeyName, USePreviousValue=true \ 
ParameterKey=AdminPassword, UsePreviousValue=true \ 
ParameterKey=AdminEMail, UsePreviousValue=true 


RDS 数 据 库 将 根据 修改 后 的 CloudFormation 模 板 做 修改 ， 如 代码 
清单 9-4 所 示 。 


代码 清单 9-4 ”修改 RDS 数 据 库 的 快照 时 间 窗 口 和 保留 期 


"Database": { 
"Type": "AWS::RDS::DBInstance", 
"Properties": { 
"AllocatedStorage": "5", 
"DBInstanceClass": "db.t2.micro", 
"DBInstancelIdentifier": "awsinaction-db", 
"DBName": "wordpress", 
"Engine": "MySQL", 
"MasterUsername": "wordpress", 
"MasterUserPassword": "wordpress", 
"VPCSecurityGroups": [ 
{"Fn::GetAtt": ["DatabaseSecurityGroup", "GroupId" ]} 
], 
"DBSubnetGroupName": {"Ref": "DBSubnetGroup"}, 
"BackupRetentionPeriod": 3, 一- -保留 快照 3 天 
"PreferredBackupWindow": "05:00-06:00" ---f£05:00~06:00 
UTC 时 间 ) 上 自动 创建 快照 
} 
} 
[ss 


如 果 用 户 想 要 禁 RH 目 动 快照 ， 可 以 修改 保留 期 为 0。 通常 可 以 使 用 
CloudFormation 模 板 ， 管 理 探 制 台 或 者 SDK 来 配置 全 目 动 快 照 。 


9.3.2 手动 创建 快照 


在 全 目 动 快照 之 外 ， 用 户 还 可 以 在 需要 的 时 候 手 动 创 建 快 照 。 下 
面 的 命令 将 创建 一 个 名 为 wordpress-manual-snapshot 的 快照 : 


$ aws rds create-db-snapshot --db-snapshot-identifier \ 
wordpress-manual-snapshot \ 


--db-instance-identifier awsinaction-db 


创建 RIRN MT 要 几 分 钟 的 时 间 。 用 户 可 以 使 用 下 面 的 命令 检查 
快照 的 状态 


$ aws rds describe-db-snapshots \ 


--db-snapshot-identifier wordpress-manual-snapshot 


RDS 不 会 目 动 删 除 手动 创建 的 快照 ， 如 条 不 再 需要 它们 ， 用 户 需 
要 日 己 手动 删除 。 本 市 的 最 后 将 介绍 如 何 操 作 。 


自动 快照 和 手动 快照 不 一 样 ， 自动 快照 在 保留 期 过 后 会 自动 删除 ， 但 是 手动 快照 不 
会 。 如 果 硕 望 在 保留 其 后 仍然 保留 自动 快照 ， 必 须 把 自动 快照 复制 成 手动 快照 。 


"E a 看 的 命令 ， 可 以 获取 在 9.1 节 中 创建 的 RDS 数 据 库 的 自动 快照 的 快 
HR 人 NID: 


$ aws rds describe-db-snapshots --snapshot-type automated \ 
--db-instance-identifier awsinaction-db \ 

--query DBSnapshots[0].DBSnapshotIdentifier \ 

--output text 


下 面 的 命令 把 自动 快照 复制 为 名 为 wordpress-copy-snapshot 的 手动 快照 。 替 换 
$SnapshotId 为 上 一 步 命令 的 输出 : 


$ aws rds copy-db-snapshot --source-db-snapshot-identifier \ 
$SnapshotId --target-db-snapshot-identifier \ 
wordpress -copy-snapshot 


动 快照 的 副本 被 命名 为 wordpress-copy-snapshot ， 不 会 被 自动 删除 。 


9.3.3 ”恢复 数据 库 


从 目 动 快照 或 者 手动 快照 恢复 时 ， 将 会 基于 快照 创建 一 个 新 的 数 
据 库 。 如 图 9-2 所 示 ， 你 不 能 把 快照 恢复 到 一 个 已 有 的 数据 库 。 


创建 快照 


不 能 恢复 数据 库 到 已 有 的 数据 库 
已 有 数据 库 


图 9-2 “不 能 把 快照 恢复 到 已 有 的 数据 库 
图 9-3 所 示 为 了 恢复 快照 ， 创 建 一 个 新 数据 库 。 


创建 快照 恢复 数据 库 


已 有 数据 库 新 数据 库 


图 9-3 为 了 恢复 快照 创建 一 个 新 数据 库 
i FADNS CNAME 指 癌 用 户 的 数据 忆 


每 个 RDS 数 据 库 会 获得 一 个 DNS 名 称 ， 类 似 awsinaction-db.czwgnecyjmj.us-east-1.rds. 
amazonaws.com。 从 快照 恢复 数据 库 后 ， 新 的 数据 库 实 例 将 会 获得 一 个 新 的 名 字 。 如 果 把 
数据 库 名 硬 编码 到 应 用 的 配置 中 ， 应 用 程序 就 将 无 法 工作 ， 因 为 它 没有 使 用 新 的 DNS 名 。 


为 了 避免 这 种 情况 ， 可 以 创建 一 个 DNS 记录 如 mydatabase.mycompany.com， 通 过 CNAME 指 
辣 数 据 库 的 DNS 名 称 。 在 需要 恢复 数据 库 时 ， 修 改 DNS 记 录 指 向 新 的 数据 库 ， 应 用 程序 就 
可 以 重新 工作 ， 因为 使 用 mydatabase. mycompany.com 的 域名 连接 数据 库 。AwS 的 DNS 服 


务 是 Route 53。 


AE EETEO.1 中 创建 的 YPC 里 创建 一 个 新 数据 库 ， 需要 找到 已 有 数 
据 库 的 子 网 组 。 获 取 该 信息 需要 执行 下 面 的 命令 : 


$ aws cloudformation describe-stack-resource \ 


--stack-name wordpress --logical-resource-id DBSubnetGroup \ 
--query StackResourceDetail.PhysicalResourceId --output text 


现在 可 以 基于 之 前 创建 的 手动 快照 来 创建 一 个 新 的 数据 库 。 和 替换 
$SubnetGroup 后 执行 下 面 的 命令 : 


$ aws rds restore-db-instance-from-db-snapshot \ 
--db-instance-identifier awsinaction-db-restore \ 


--db-snapshot-identifier wordpress-manual-snapshot \ 
--db-subnet-group-name $SubnetGroup 


基于 手动 快照 创建 的 新 的 数据 库 名 为 awsinaction-db- 
restore 。 在 数据 库 创 建 后 ， 可 以 切换 WordPress 应 用 到 新 的 端点 


使 用 目 动 创建 的 快照 ， 束 可 以 把 数据 库 恢 复 到 一 个 特定 的 时 间 
i ， 因 为 RDS 保 存 了 数据 库 的 变更 日 志 。 这 样 束 可 以 把 数据 库 恢复 到 
fen 保留 期 开始 到 最 近 的 5 min 的 任意 一 个 时 间 点 。 


在 下 面 的 命令 中 替换 $subne tGroup 为 之 前 的 describe- 
stack-resource 命令 的 输出 ， 并 且 替 换 $Time 为 一 个 5 min 前 的 时 
间 (如 2015-065-23T12:55:00Z ，UTC 时 间 ) ， 然 后 运行 下 面 的 命 
A. 


$ aws rds restore-db-instance-to-point-in-time \ 
--target-db-instance-identifier awsinaction-db-restore-time \ 


--source-db-instance-identifier awsinaction-db \ 
--restore-time $Time --db-subnet-group-name $SubnetGroup 


这 样 束 可 以 基于 5 min 前 的 源 数 据 库 创建 起 来 一 个 新 的 名 为 
awsinaction-db- restore-time 的 数据 库 。 在 数据 库 创 建 完 成 后 ， 可 
以 切换 WordPress 应 用 到 新 的 端点 。 


9.3.4 复制 数据 库 到 其 他 的 区 域 


使 用 快照 可 以 方便 地 把 数据 库 复 制 到 其 他 区 域 。 可 能 基于 下 面 的 
原因 跨 区 域 复制 数据 库 。 


。 灾 难 恢复 一 可 以 区 域 基本 进行 灾难 恢复 。 
© EE 一 把 基础 架构 迁移 到 另外 一 个 区 域 ， 这 样 改善 用 户 的 访问 


HERT ° 


你 可 以 轻松 地 把 快照 复制 到 其 他 区 域 。 下 面 的 命令 把 名 为 
wordpress-manual-snapshot 的 快照 从 us-east-1 区 域 复 制 到 
eu-west-1。 在 执行 命令 之 前 需要 替换 $AccountId : 


$ aws rds copy-db-snapshot --source-db-snapshot-identifier \ 
arn:aws:rds:us-east-1:$AccountId:snapshot:\ 


wordpress-manual-snapshot --target-db-snapshot-identifier \ 
wordpress-manual-snapshot --region eu-west-1 


路 区 域 移动 数据 可 能 违反 隐私 法 律 或 者 法 规 规定 ， 特 别 
越 区 域 移动 真实 的 数据 前 确保 你 被 允许 这 么 做 。 


数据 跨越 国 


界 的 时 候 。 在 跨 


如 打 用 户 记 不 得 目 己 的 账户 ID， 可 以 使 用 下 面 的 命令 行 碍 看 : 


$ aws iam get-user --query "User.Arn" --output text 
![p240a1{44}](/api/storage/getbykey/original? 


key=1806c00bbca174f6d207 )arn:aws: iam: :878533158213:user/mycli 


快照 复制 到 eu-west -1 区域 后 ， 束 可 以 像 之 前 介绍 的 内 容 恢复 
数据 库 。 


9.3.5 “计算 快照 的 成 本 


快照 基于 使 用 的 存储 容量 收费 。 用 户 可 以 免费 存储 和 目 己 数据 库 
实例 相同 容量 的 快照 。 在 WordPress 博 客 平 台 的 这 个 例子 中 ， 你 可 以 免 
费 存 储 最 多 5 GB 的 快照 。 超 过 的 部 分 ， 按 照 每 GB 每 月 使 用 的 存储 容量 
° 在 编写 本 书 的 时 候 ， 每 GB 每 月 成 本 为 0.095 美 元 (在 us-east-1 区 


要 清理 创建 的 数据 库 和 快照 。 按 顺序 执行 下 


$ aws rds delete-db-instance --db-instance-identifier \ 
awsinaction-db-restore --skip-final-snapshot 一- -删除 从 快照 中 恢复 的 数据 库 
$ aws rds delete-db-instance --db-instance-identifier \ 
awsinaction-db-restore-time --skip-final-snapshot =- -删除 基于 时 间 点 恢复 的 数据 库 
$ aws rds delete-db-snapshot --db-snapshot-identifier \ 
wordpress-manual-snapshot -- -删除 手动 创建 的 快照 

$ aws rds delete-db-snapshot --db-snapshot-identifier \ 

wordpress-copy-snapshot 一- -删除 复制 的 快照 

$ aws --region eu-west-1 rds delete-db-snapshot --db-snapshot-identifier \ 
wordpress-manual-snapshot —- -删除 复制 到 另 一 个 区 域 的 快照 


9.4 ”控制 对 数据 库 的 访问 


责任 共 担 的 安全 模型 适用 于 RDS 服 务 ， 也 适用 于 其 他 AWS 服 务 。 
在 本 例 中 AWS 为 云 上 的 安全 负责， 如 奈 层 操作 系统 的 安全 。 作 为 客 
尸 ， 你 需要 制定 规则 控制 对 数据 和 和 RDS 数据库 的 访问 。 


图 9-4 展 示 了 对 于 RDS 数 据 库 进行 访问 控制 的 3 个 层面 。 
。 控制 对 RDS 数 据 库 的 配置 的 访问 。 


。 控制 对 RDS 数 据 库 的 网 络 访问 。 
。 使 用 用 户 和 权限 管理 来 控制 对 数据 库 目 身 的 数据 访问 控制 。 


配置 访问 管理 


IAM 策 略 控制 对 网 络 配置 
和 数据 库 配 置 的 访问 


网 络 访问 管理 
防火 墙 规则 在 网 络 层面 控制 对 
数据 库 的 访问 : 数据 库 实例 的 安全 组 
以 及 子 网 的 访问 控制 列表 


数据 库 访问 管理 


用 户 和 数据 库 系统 的 访问 
管理 控制 对 数据 的 访问 


和 IAM 来 控制 


图 9-4 数据 访问 通过 数据 库 访 问 管理 ， 安 全 双 


9.4.1 ”控制 对 RDS 数 据 库 的 配置 的 访问 控制 


身份 和 访问 控制 管理 服务 (IAM) 可 以 帮助 控制 对 RDS 服 务 的 访 
问 。IAM 服 务 负责 控制 诸如 对 创建 、 更 新 和 删除 RDS 数 据 库 实 例 等 操 
作 的 访问 。IAM 不 管理 数据 库 内 部 的 访问 ;数据 库 引 警 负责 那 部 分 的 
安全 控制 ( 见 9.4.3 节 ) 。IAM 的 策略 定义 了 一 个 用 户 或 者 用 户 组 允许 
执行 的 RDS 服 务 的 配置 和 管理 操作 。 把 IAM 策 略 关联 到 特定 的 IAM 用 
A 
Æ o 


代码 请 单 9-5 显 示 的 IAM 策 略 人 允许 对 RDS 服 务 进行 所 有 配置 和 管理 
操作 。 仅 把 策略 关联 到 特定 的 IAM 用 户 和 组 以 限制 访问 。 


代码 清单 9-5 _IAM 策 略 人 允许 管理 RDS 的 权限 


"Version": "2012-10-17", 
"Statement": [{ 
"Sid": "Stmt1433661637000", 
"Effect": "Allow", ~- -IAM 策 上 略 允 许 对 特定 自由 的 特定 操作 


magneton”: [Wrds:*"]， “允许 对 RDS 服务 的 所 有 可 能 操作 (例如 ,修改 
数据 库 的 配置 
"Resource": "*" =- -指定 了 所 有 的 RDS 数据 库 资源 

}] 


应 该 仅 授 权 给 真正 需要 更 改 RDS 数 据 库 的 人 或 者 服务 器 。 如 采 对 


IAM 服 务 感 兴趣 ， 可 以 查看 第 6 革 的 内 容 。 


9.4.2 ”控制 对 RDS 数 据 库 的 网 络 访问 


RDS 实 例 关 联 到 安全 组 。 安 全 组 包含 了 一 组 防火 墙 规 则 ， 控 制 数 
i ° 你 已 经 了 解 过 如 何 把 安全 组 配合 虚拟 服务 器 
TE o 


代码 清单 9-6 展 示 了 在 WordPress 示 例 中 创建 的 RDS 数 据 库 所 使 用 
的 安全 组 。 这 里 的 规则 仅仅 允许 来 源 为 WebServerSecurityGroup 
的 网 络 流量 对 3306 端 口 的 入 站 访问 〈3306 为 MySQL 的 默认 端口 ) 。 


代码 清单 9-6 ”CloudFormation 模 板 片段 ，RDS 数 据 库 的 防火 墙 规则 


{ 
[ 


] 


esources": { 


Oo 


si 


"DatabaseSecurityGroup": { =- -数据 库 实例 的 安全 组 ， 人 允许 Web 服 务 
访问 MySQL 的 默认 端口 
"Type": "AWS::EC2::SecurityGroup", 
"Properties": { 
"GroupDescription": "awsinaction-db-sg", 
"VpcId" : {"Ref" : "VPC"}, 
"SecurityGroupIngress": [{ 
"IpProtocol": "tcp", 


"EromPort": "3306", <--MySQL 默认 端口 为 3306 
"ToPort": "3306", 
"SourceSecurityGroupId": {"Ref": "wWebServerSecurityGroup"} 
~- -来 源 为 Web 服务 器 所 在 的 安全 组 
}] 
} 


ty 


FEMME, MAALE E m AE RDSE EIR ae 
o 。 如 采 你 有 兴趣 ， 请 到 第 6 章 查 看 安全 组 和 防火 墙 规则 的 详 
zH ea ° 


9.4.3 ”控制 数据 访问 


数据 库 引 擎 提供 了 访问 权限 控制 。 数 据 库 引擎 的 用 户 管理 和 IAM 
用 户 的 权限 没有 任何 关系 ; 它 只 用 来 控制 对 数据 库 的 访问 。 例 如 ， 通 
党 需要 为 每 个 应 用 程序 创建 一 个 用 户 ， 并 且 在 必要 的 时 候 为 该 用 户 分 
配 访问 和 操作 表 的 权限 。 
常见 的 使 用 场景 如 下 : 
E 仅 授 权 给 应 用 程 
ee a 授权 给 某 个 组 织 的 某 个 


。 通过 对 表 的 访问 限制 来 隔离 不 同 的 应 用 程序 (例如 ， 人 允许 不 同 的 
客户 的 多 个 应 用 程序 的 访问 同一 个 数据 库 ) 。 


本 书 中 不 
绍 这 部 分 内 容 ， 请 参考 数据 库 的 文档 来 了 解 相关 信息 。 


9.5 “可 以 依赖 的 高 可 用 的 数据 库 


数据 库 是 一 个 系统 中 最 重要 的 部 分 。 如 条 数据 库 无 法 访问 ， 应 用 
程序 殊 无 法 正常 工作 ， 存 储 在 数据 库 里 的 数据 是 业务 关键 型 数据 ， 所 
以 数据 库 必 须 是 高 可 用 并 且 持 久 化 地 存储 数据 。 


Amazon RDS 让 你 运行 一 个 高 可 用 的 数据 库 。 和 默认 的 包 合 一 个 
实例 的 数据 库 相 比 ， 高 可 用 的 RDS 数 据 库 包含 两 个 数据 库 实 例 : 一 
主 库 和 一 个 从 库 。 如 采 运 行 一 个 高 可 用 的 RDS 数 据 库 ， 你 需要 为 两 个 
实例 付费 。 所 有 的 客户 端 请 求 发 送 到 主 库 。 了 怠 像 图 9-5 显 示 的 那样 ， 数 
据 在 主 库 和 从 库 之 间 同 步 复 制 。 


主 数据 库 => 
M E B 
action-db...rds. 
Te 解析 DNS 域名 
SEE 
一 一 一 一 
应 用 程序 客户 端 


图 9-5 ”运行 在 高 可 用 模式 时 主 数据 库 复 制 到 从 数据 库 


如 有 果 主 库 因为 硬件 或 者 网 络 故 障 ，RDS 会 局 动 故障 切换 流程 。 从 
库 提升 为 主 库 。 如 图 9-6 所 示 ，DNS 名 称 会 被 更 新 ， 客 户 端的 请 求 将 发 
送 给 之 前 的 从 库 。 


RDS 目 动 侦 测 故障 并 进行 切换 ， 不 需要 人 工 干 预 。 对 于 生产 负 
载 ， 强 烈 推荐 使 用 高 可 用 的 部 嗜 方式 。 


主 数据 库 备用 数据 库 


awsinaction-db...rds.amazonaws.com 


| 解析 DNS 域名 


T 


N 


应 用 程序 客户 端 


图 9-6 ” 主 数 据 库 发 生 故 障 后 客户 端 程序 通过 DNS 名 字 解 析 切 换 到 从 数据 库 


激活 RDS 数 据 库 的 高 可 用 部 署 选项 


在 本 地 的 终端 输入 下 面 的 命令 来 激活 RDS 数 据 库 的 高 可 用 部 署 ， 
用 于 WordPress 博 客 平 台 使 用 : 


$ aws cloudformation update-stack --stack-name wordpress -- 
template-url \ 
https://s3.amazonaws.com/awsinaction/chapter9/template- 
multiaz.json \ 

--parameters ParameterKey=KeyName, UsePreviousValue=true \ 
ParameterKey=AdminPassword, UsePreviousValue=true \ 
ParameterKey=AdminEMail, UsePreviousValue=true 


启动 高 可 用 部 署 的 RDS 数 据 库 将 产生 费用 。 如 果 想 了 解 当前 的 价格 信息 ， 可 以 访问 


D> 


AWS 官 方 网 站 。 


我 们 使 用 稍 修改 过 的 CloudFormation 模 板 来 更 新 RDS 数 据 库 ， 如 
代码 清单 9-7 所 示 。 


代码 清单 9-7 修改 RDS 数 据 库 以 激活 高 可 用 


"Database": { 

"Type": "AWS::RDS::DBInstance", 

"Properties": { 
"AllocatedStorage": "5", 
"DBInstanceClass": "db.t2.micro", 
"DBInstanceldentifier": "“awsinaction-db", 
"DBName": "wordpress", 
"Engine": "MySQL", 
"MasterUsername": "wordpress", 


"MasterUserPassword": "wordpress", 
"VPCSecurityGroups": [ 

{"Fn::GetAtt": ["DatabaseSecurityGroup", "GroupId" ]} 
], 
"DBSubnetGroupName": {"Ref": "DBSubnetGroup"}, 
"MultiAZ": true «-- RDS 数据 库 激 活 高 可 用 部 署 


数据 库 大 概 需要 几 分 钟 的 时 间 才 能 进入 高 可 用 模式 。 但 是 
做 任何 其 他 事情 一 一 现在 数据 库 已 经 文 持 高 可 用 了 。 


每 个 AWS 区 域 都 包含 多 个 独立 的 数据 中 心 ， 也 被 称 为 可 用 区 。 第 11 章 将 介绍 可 用 区 的 
概念 。 所 以 这 里 暂时 略 过 对 RDS 跨 可 用 区 部 署 (把 RDS 的 主 库 和 从 库 启动 在 两 个 不 同 的 可 
区 ) 的 介绍 。AWS 把 这 种 高 可 用 的 部 署 方式 称 为 RDS 多 可 用 区 部 署 。 


使 用 RDS 高 可 用 的 部 署 除了 提高 数据 库 可 靠 性 之 外 ， 还 有 其 他 的 


好 处 。 重 新 配置 或 者 维护 数据 库 一 般 将 导致 停机 。 -个 高 可 用 部 署 的 
RDS 数 据 库 允许 在 维护 的 时 候 切换 到 从 库 ， 从 而 解决 了 这 个 问题 。 


9.6 ”调整 数据 库 的 性 能 


通 利 情况 下 ，RDS 数 据 库 ， 或 者 任何 SQL 数据 库 ， 可 以 在 垂直 方 
同上 扩展 。 如 采 数 据 库 性 能 不 足 ， 束 必须 增加 奈 层 人 硬件 的 性 能 : 


。 更 快 的 CPU: 
。 更 多 的 内 存 ; 
。 更 高 性 能 的 IO 存储 。 
和 关系 数据 库 不 同 的 是 ，S3 这 样 的 对 象 存储 或 者 DynamoDB 这 样 


的 NoSQL 数 据 库 可 以 在 水 平方 同上 进行 扩展 。 可 以 通过 向 集 群 中 添加 
节 扩 的 方式 增加 性 能 。 


9.6.1 ”增加 数据 库 资 源 


在 局 动 RDS 数 据 库 的 时 候 ， 需 要 选择 一 种 实例 类 型 。 实 例 类 型 决 
定 了 虚拟 服务 器 的 计算 能 力 和 内 存 容量 (和 启动 一 合 EC2 实 例 一 


PD 。 选 择 更 大 的 实例 类 型 能 增加 数据 库 可 以 使 用 的 处 理性 能 和 内 存 
容量 。 


这 里 启动 的 是 db.t2.micro 类 型 的 RDS 数 据 库 ， 这 是 最 小 的 实例 类 
型 。 可 以 通过 CloudFormation 模 板 、 命 令 行 、 软 件 开 发 工具 包 SDK 和 
管理 控制 台 来 修改 实例 类 型 。 代 码 清 单 9-8 显 示 如 何 使 用 
CloudFormation 模 板 来 把 拥有 1 个 虚拟 内 核 和 615 MB 内 存 的 db.t2.micro 
修改 为 2 倍 虚 拟 内 核 和 7.5 GB 内 存 的 db.m3.large 实 例 。 这 里 只 是 在 理论 
上 介绍 如 何 操作 一 一 不 要 去 扩展 你 正在 运行 的 数据 库 。 


代码 清单 9-8 ”修改 实例 类 型 来 改善 RDS 数 据 库 的 性 能 


{ 
"Resources": { 


Lowa | 
"Database": { 
"Type": "AWS::RDS::DBInstance", 
"Properties": { 
"AllocatedStorage": "5", 
"DBInstanceClass": "db.m3.large", =- -把 数据 库 实 例 底层 的 虚拟 
服务 器 类 型 从 db .t2 ,micro 修改 为 db .m3.large 
"DBInstanceIdentifier": "awsinaction-db", 


"DBName": "wordpress", 

"Engine": "MySQL", 
"MasterUsername": "wordpress", 
"MasterUserPassword": "wordpress", 
"VPCSecurityGroups": [ 


{"Fn::GetAtt": ["DatabaseSecurityGroup", "GroupId"]} 


了 
"DBSubnetGroupName": {"Ref": "DBSubnetGroup"} 


因为 数据 库 必 须 从 磁盘 读 取 和 写 入 数据 ， 所 以 MO 性 能 对 数据 库 的 
总 体 性 能 来 说 至 关 重 要 。RDS 提 供 3 种 不 同 的 存储 ， 你 已 经 在 EFBS 的 介 
绍 中 了 解 到 了 这 些 EBS 存 储 类 型 : 


。 JBFISSDREE. 
° iH EIOPSMH REHUSSDHE FE: 
。 物理 磁盘 。 


针对 生产 系统 的 工作 负载 ， 应 该 选择 通用 SSD 人 磁极 或 者 选择 预 配 
置 IOPS 性 能 的 SSD 位 可 。 这 些 选 项 和 你 为 虚拟 服务 器 选择 的 EBS 存 储 
服务 选项 一 样 。 如 果 和 希望 保证 高 水 平 的 读 和 写 吞 吐 量 ， 应 该 使 用 预 配 
置 IOPS 性 能 的 SSD 固 态 硬盘 。 通 用 SSD 提 供 了 中 等 的 性 能 ， 并 且 在 需 
要 的 时 候 可 用 突 发 性 能 来 满足 突 发 的 工作 负载 的 需求 。 通 用 SSD 的 基 
线性 能 取决 于 最 初 配置 的 存储 容量 。 如 果 需 要 以 很 低 的 成 本 存储 数据 
或 者 不 需要 保证 访问 的 性 能 ， 可 以 选择 物理 磁盘 。 代 码 清 单 9-9 显 示 如 
何 使 用 CloudFormation 来 激活 通用 SSD 存 储 。 


代码 清单 9-9 ”修改 RDS 数 据 库 的 存储 类 型 来 改善 性 能 


{ 
"Resources": { 
"Database": { 


"Type": "AWS::RDS::DBInstance", 
"Properties": { 


"AllocatedStorage": "5", 
"DBInstanceClass": "db.t2.micro", 
"DBInstanceldentifier": "“awsinaction-db", 
"DBName": "wordpress", 
"Engine": "MySQL", 
"MasterUsername": "wordpress", 
"MasterUserPassword": "wordpress", 
"VPCSecurityGroups": [ 
{"Fn::GetAtt": ["DatabaseSecurityGroup", "GroupId"]} 


], 
"DBSubnetGroupName": {"Ref": "DBSubnetGroup"}, 
"StorageType": "gp2" 一- -使 用 通用 类 型 (SSD) 存储 来 改善 TI/0 性 


9.6.2 ”使 用 读 副 本 来 增加 读 性 能 


SQL 数 据 库 可 以 在 特定 的 情况 下 水 平 扩 展 性 能 。 服 务 大 量 读 请 求 
的 数据 库 可 以 通过 水 平添 加 更 多 的 读 副本 的 数据 库 实例 的 方式 来 扩展 
性 能 。 如 图 9-7 所 示 ， 数 据 库 的 修改 以 异步 的 方式 复制 到 额外 的 只 读数 
据 库 实例 。 可 以 在 主 数 据 库 和 读 副 本 之 间 分 担 读 请 求 ， 来 增加 读 否 吐 
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主 数据 库 读 副本 数据 库 
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a 
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图 9-7 ”在 主 数据 库 和 读 副 本 数据 库 之 间 分 担 读 负载 ， 以 提升 读 性 能 


通过 读 副 本 的 方式 改善 性 能 只 适用 于 大 量 读 操 作 和 少量 写 操 作 的 
应 用 类 型 。 幸 运 的 征 ， 大 多 数 应 用 读 取 的 操作 远 远 大 于 写 入 操作 。 


1. 创建 一 个 读 副 本 的 数据 库 


Amazon RDS 支 持 创建 MySQL 和 PostgreSQL 数 据 库 的 只 读 副本 。 
人 
示 如 何 操作 。 


NAHAS mois PARIR S ， 为 在 9.1 节 中 的 WordPress 博 客 平台 
的 数据 库 创建 只 读 副本 : 


$ aws rds create-db-instance-read-replica \ 


--db-instance-identifier awsinaction-db-read \ 
--source-db-instance-identifier awsinaction-db 


RDS 在 后 台 目 动 触发 下 列 操作 。 
(1) 从 源 数据 库 (也 叫做 主 数据 库 ) 创建 快照 。 
(2) 从 该 快照 创建 新 的 数据 库 。 


(3) 激活 主 数据 库 和 只 读数 据 库 的 复制 关系 。 
(4) 为 只 读 副 本 数据 库 创建 SQL 只 读 请 求 的 端点 。 


一 旦 只 读数 据 库 成 功 创建 ， 它 就 可 以 开始 接收 SQL 读 请 求 。 应 用 
程序 需要 文 持 使 用 只 读 副本 的 数据 库 。 例 如 ，WordPress 默 认 不 文 持 使 
用 只 读 副 本 数据 库 ， 但 是 可 以 通过 安 冯 一 个 叫 作 HyperDB 的 插件 来 文 
持 ， 它 的 配置 有 些 复杂 ， 这 里 略 过 这 部 分 内 容 。 创 建 或 者 删除 一 个 只 
读 副本 不 会 影响 主 库 的 可 用 性 。 


ERS x a Te 


RDS 文 持 MySQL 数 据 库 的 跨 区 域 复 制 。 例 如 ， 可 以 把 位 于 弗吉尼亚 的 数据 中 心里 的 数 
据 库 复 制 到 爱尔兰 的 数据 中 心 。 这 个 功能 主要 有 下 面 的 使 用 场景 。 


(1) 路 区 域 的 备份 数据 ， 以 防范 极 少 出 现 的 区 域 级 别 的 故障 。 
(2) 跨 区 域 迁 移 数 据 ， 以 满足 本 地 用 户 读 请 求 所 需要 的 低 延 时 。 
(3) 跨 区 域 迁移 数据 库 。 

跨 区 域 的 复制 数据 库 会 产生 额外 的 成 本 ， 


因为 你 还 需要 为 传输 的 数据 流量 付费 。 


2. 提升 读 副本 数据 库 为 单独 的 数据 库 


如 有 需要 路 区 域 迁移 数据 库 ， 或 者 需要 为 主 数据 库 分 担 像 添 加 索 
引 这 样 高 负载 的 任务 ， 把 这 些 负 载 从 主 库 切 换 到 只 读 副本 会 很 有 帮 
助 。 只 读 副 本 必须 成 为 新 的 主 数据 库 。RDS 的 MySQL 和 PostgreSQL 的 
只 读数 据 库 可 以 提升 为 主 数据 库 。 


下 面 的 命令 把 创建 的 只 读 副 本 数据 库 提 升 为 单独 的 主 数据 库 。 注 
意 只 读数 据 库 将 会 重新 启动 并 且 在 几 分 钟 内 不 可 用 : 


$ aws rds promote-read-replica --db-instance-identifier 


awSinaction-db-read 


名 为 awsinaction-db-read 的 RDS 数 据 库 从 只 读 从 库 提 升 为 
主 数据 库 之 后 ， 就 可 以 开始 接受 写 请 求 。 


清理 不 再 需要 的 资源 。 执 行 下 面 的 命令 : 


$ aws rds delete-db-instance --db-instance-identifier \ 
awsinaction-db-read --skip-final-snapshot 


在 本 章 我 们 已 经 积累 了 一 定 的 AWS 关 系数 据 库 服务 的 经 验 。 最 后 
我 们 来 了 解 如 何 紧密 监控 RDS 的 性 能 。 


9.7 ”监控 数据 库 


RDS 是 一 个 托管 的 服务 。 但 是 ， 用 户 仍然 需要 监控 一 些 指标 ， 以 
确保 数据 库 可 以 啊 应 所 有 来 自 应 用 程序 的 访问 请 求 。RDS 发 布 一 些 指 
标 给 AWS CloudWatch 服 务 ，CloudWatch 是 一 个 AWS 云 的 监控 服务 。 像 
图 9-8 显 示 的 那样 ， 可 以 通过 管理 控制 台 查 看 这 些 指标 ， 并 且 定 义 超过 
一 定 阐 值 之 后 产生 报警 。 

访问 RDS 数 据 库 的 指标 可 以 按照 下 面 的 步 又。 

(1) 打开 管理 控制 台 。 
(2) 在 主 菜 单 中 选择 CloudWatch 服 务 。 
(3) 在 左 侧 选 择 RDS 指 标的 子 菜单 。 


(4) 在 显示 的 表 下 选择 想 要 查看 的 指标 。 


显示 数据 库 实例 


J: 监控 数据 库 的 
CPU 利 用 率 的 图 表 Pen 可 用 存储 空间 
| 切换 监控 选项 | 
J 
\ Pá | 
| 
启动 数据 库 实例 隐藏 监控 v 实例 操作 v ov @ 
时 间 范 围 ; 近 1 小 时 v 1|213|14|15|6|7 | 8 | 里 示 全 部 
“Ps ARTE ONES CloudWatch 指标 。 单 击 图 表 可 查看 放大 图 。 ， 查看 全 部 CloudWatch 指标 | 
CPU HAR (百分比 ) 数据 库 连 接 数 (数量 ) 可 用 存储 空间 (MB) 
20 5,000 
15 0.75 A000 
3,000 
10 05 
2,000 
5 = 0.25 1,000 
0 0 0 
09/04 09/04 09/04 09/04 09/04 09/04 
19:30 20:00 19:30 0:00 9:30 0:00 
可 用 内 存 (MB) BA IOPS (次数 / 秒 ) 读 取 IOPS (REV) 
800 80 6 
600 \ 60 . 
400 40 3 
200 20 s 
0 0 0 
09/04 09/04 09/04 09/04 09/04 09/0. 
19:30 20:00 19:30 20:00 19:30 4 20:00 


监控 数据 库 的 VO 利 用 率 


2% 


图 9-8 从 管理 控制 台 监 控 RDS 数 据 库 的 指标 


RDS 数 据 库 实 例 提供 18 个 指标 ， 表 9-5 展 示 了 重要 的 指标 ， 推 荐 通 
过 创建 报警 的 方式 持续 监控 这 些 指 标 。 


表 9-5 ”从 Cloudwatch 监 控 RDS 数 据 库 的 重要 指标 


崩 率 可 能 意味 着 CPU 性 能 瓶颈 


为 单位 。 内 存 不 足 会 导致 性 能 问题 


ae a 待 请求 数量 。 一 个 长 队列 意味 着 数据 库 遇 到 了 存储 IO 性 能 


推荐 对 这 些 指标 给 予 特别 的 关注 ， 以 确保 数据 库 不 会 为 应 用 程序 
市 来 性 能 问题 。 


现在 清理 资源 来 避免 不 必要 的 花费 。 执 行 下 面 的 命令 来 删除 为 WordPress 博 客 平台 创建 
的 RDS 数 据 库 相关 资源 : 


$ aws cloudformation delete-stack --stack-name wordpress 


本 章 中 我 们 学 习 了 如 何 使 用 RDS 服 务 来 管理 应 用 的 关系 数据 库 。 
下 一 章 我 们 将 专门 讨论 一 个 NoSQL 数 据 库 。 


9.8 小结 


RDS 是 一 个 提供 关系 数据 库 的 托管 服务 。 

可 以 选择 MySQL ` PostgreSQL ` Microsoft SQL ` Oracle ` 
MariaDB Amazon Aurora 这 样 的 数据 库 引 警 。 

最 方便 地 把 数据 导入 RDS 数 据 库 的 方法 ， 是 复制 数据 到 同一 个 区 
ee 然后 从 该 虚拟 服务 器 导入 数据 到 RDS 数 据 


Æ 

可 以 配合 使 用 IAM 策 略 和 防火 墙 规则 ， 以 及 数据 库 级 别 的 安全 工 
具 来 控制 对 数据 的 访问 。 

在 数据 保留 期 内 ， 可 以 把 RDS 数 据 库 恢复 到 任何 时 间 点 。 

RDS 数 据 库 可 以 是 高 度 可 用 的 。 对 于 生产 负载 ， 应 该 以 多 AZ 模式 
启动 RDS 数 据 库 。 

读 副 本 数据 库 可 以 改善 SQL 数据 库 的 读 密 集 应 用 的 性 能 。 


第 10 章 ”面向 NoSQL 数 据 库 服务 的 编程 : 
DynamoDB 


本 章 主要 内 容 


。DynamoDB 的 NoSQL 数 据 库 服务 
。 创建 表 和 二 级 索引 

。 在 服务 堆栈 里 集成 DynamoDB 

。 设计 键 值 优化 的 数据 模型 

。 优化 性 能 


扩展 传统 的 关系 数据 库 的 性 能 非常 困难 ， 因 为 保证 事务 (原子 
性 、 一 致 性 、 隔 离 、 持 和 久 性 ， 也 叫 作 ACID) 需要 跨 数据 库 的 所 有 节点 
通信 。 添 加 的 节点 越 多 ， 数 据 库 会 变 得 越 慢 ， 因 为 更 多 的 节点 需要 彼 
此 协调 交易 操作 。 要 应 对 这 样 的 难题 需要 使 用 不 提供 上 面 ACID 保 证 的 
数据 库 类 型 。 它 们 叫 作 NoSQL 数 据 库 。 


有 4 种 主要 的 NoSQL 数 据 库 〈 文 档 、 图 形 、 列 式 和 键 值 存储 ) 
种 类 型 有 适用 的 场景 和 应 用 程序 。 亚 马 逊 提供 一 个 叫 作 DynamoDB 的 
NoSQL 数 据 库 服务 。 和 RDS 不 一 样 ，DynamoDB 十 完全 托管 的 ， 非 开 
源 的 键 值 存储 。 如 果 和 希望 使 用 不 同 的 NoSQL 数 据 库 类 型 (如 MongoDB 
这 样 的 文档 数据 库 ) ， 你 需要 启动 EC2 实 例 并 且 在 上 面 自 己 安装 管理 
MongoDB。 第 3 章 和 第 4 章 的 会 介绍 如 何 操作 。DynamoDB 高 可 用 和 高 
度 持久 的 。 你 可 以 把 DynamoDB 的 容量 从 一 个 项 目 扩展 到 存储 几 十 亿 
， 也 可 以 把 它 的 性 能 从 每 秒 钟 一 个 操作 扩展 到 每 秒 上 万 个 操 


本 章 详细 了 解 如 何 使 用 DynamoDB: 如 何 管理 它 和 如 何 编程 以 使 
Fa DynamoDB 。 管 理 DynamoDB 非 常 答 单 。 可 以 为 DynamoDB 创 建 表 和 
二 级 索引 。 人 性 能 相关 的 可 以 调整 的 参数 只 有 一 个 : 读 容量 和 写 容 量 
位 ， 读 写 容量 单位 直接 决定 了 表 的 性 能 和 成 本 。 


我 们 将 查看 DynamoDB 的 细 方 ， 并 通过 一 个 简单 的 任务 管理 应 用 
nodetodo (类 似 Hello World 程 序 ) 来 展示 如 何 使 用 它 。 图 10-1 展 示 了 如 


何 使 用 nodetodo 的 任务 管理 应 用 。 


本 章 中 的 所 有 示例 都 包含 在 免费 套餐 中 。 只 要 不 是 运行 这 些 示例 好 几 天 ， 就 不 需要 文 


付 任 何 费用 。 记 住 ， 这 仅 适 用 于 读者 为 学 习 本 书 刚刚 创建 的 全 新 AWS 账 户 ， 并 且 在 这 个 
全 他 活动 。 尽 量 在 几 天 的 时 间 里 完成 本 章 中 的 示例 ， 在 每 个 示例 完成 后 务 
2 NA 里 由 


eee P chapter10 — bash — 92x39 


mwittig:chapter1® michael$ node index.js user-add michael michael@widdix.de +4971537507824 
user added with uid michael 

mwittig:chapter1® michael$ node index.js task-add michael “book flight to AWS re:Invent" 
task added with tid 1433743784399 

mwittig:chapter1® michael$ node index.js task-add michael “revise chapter 10" 
task added with tid 1433743827724 

mwittig:chapter1® michael$ node index.js task-ls michael 

tasks [ { tid: '1433743784399', 

description: ‘book flight to AWS re:Invent', 

created: '20150608', 

due: null, 

category: null, 

completed: null }, 

tid: Brahe lal 

description: ‘revise ER 10' 

created: '20150608' 

due: null, 

category: null, 

completed: null } ] 

mwittig:chapter1® michael$ node index.js task-done michael 1433743784399 

task completed with tid 1433743784399 

mwittig:chapter1® michaels 


~ 


图 10-1 你 可 以 使 用 nodetodo 应 用 的 命令 行 接口 管理 你 的 任务 
在 开始 实现 nodetodo 之 前 ， 需 要 了 解 DynamoDB 的 最 基本 的 信 


10.1 操作 DynamoDB 


DynamoDB 不 需要 任何 传统 关系 数据 库 的 管理 操作 ， 但 是 有 其 他 
需要 关注 的 任务 。DynamoDB 的 价格 取决 于 存储 容量 和 性 能 需求 。 本 
节 还 比较 了 DynamoDB 和 RDS 的 不 同 。 


10.1.1 管理 


有 了 DynamoDB， 你 不 需要 担心 安装 、 更 新 、 服 务 器 、 存 储 或 者 
备份 操作 。 


。 DynamoDB 不 是 一 个 可 以 下 载 的 软件 产品 。 相 反 的 ， 它 是 一 个 
NoSQL 的 数据 库 服 务 。 所 以 ， 不 能 像 安 效 一 个 MySQL 或 者 
MongoDB 一 样 安装 DynamoDB。 这 也 意味 着 不 能 为 数据 库 打 补 
J; DynamoDB 的 软件 是 由 AWS 来 维护 的 。 

e DynamoDB 运 行 在 AWS 运 维 管理 的 一 批 服 务 器 上 。 他 们 负责 操作 
系统 和 安全 相关 的 问题 。 从 安全 的 角度 来 说 ， 你 的 任务 是 分 配合 
适 的 权限 给 IAM 用 户 访问 DynamoDB 表 。 

。 DynamoDB 跨 服务 器 和 多 个 数据 中 心 复制 数据 。 没 有 必要 出 于 持 
A 目的 来 做 备份 一 一 数据 库 已 经 帮助 在 物理 层面 傈 

数据 。 


现在 了 解 到 了 使 用 DynamoDB， 用 户 不 再 需要 进行 某 些 管理 操 
作 。 但 是 ， 要 在 生产 环境 里 使 用 DynamoDB， 仍 然 需要 考虑 一 些 事 
情 : 创建 表 〈 见 10.4 节 ) 、 创 建 二 级 索引 ( 见 10.6 节 ) 、 监 控 容量 使 用 
和 配置 读 写 容量 ( 见 10.9 节 ) 。 


10.1.2 价格 


如 果 使 用 DynamoDB， 每 月 需要 为 下 面 的 用 量 付费 。 


每 GB 每 月 容量 0.25 美 元 (二 级 索引 通用 消耗 容量 ) 。 
每 10 个 写 容量 单位 0.47 美 元 (10.9 节 将 解释 读 写 容量 单位 ) 。 
每 50 个 读 容 量 单位 0.09 美 元 。 


这 些 价 格 信息 适用 于 当前 的 弗吉尼亚 北部 的 区 域 (us-east-1) 。 
如 果 使 用 在 同一 区 域 的 EC2 服 务 絮 访问 DynamoDB， 不 会 产生 和 额外 的 


=a 
流量 费 。 


10.1.3 与 RDS 对 比 


表 10-1 比 较 了 DynamoDB 和 RDS。 注 意 这 就 像 拿 着 苹果 和 橘子 对 
比 ， 并 不 是 对 等 的 比较 。DynamoDB 和 RDS 唯 一 的 共同 点 就 是 它们 都 
叫 作 数据 库 。 


表 10-1 DynamoDB 和 RDS 的 区 别 


管理 控制 台 ，SDK 或 者 CLI aws 
dynamodb create-table 


SQL CREATE TABLE 语句 


SQL 分 别 使 用 INSERT ` UPDATE 或 
DELETE 语句 


查询 主键 : SDK 无 法 查询 非 主 
查询 数据 高 性 ， 但 是 可 以 添加 二 级 索引 或 ”1SQL sELECT 语句 
扫描 整 张 表 


. 须 任 何 操作 ; 省 着 项 
ante Te 


水 平方 向 ， 通 过 增加 读 写 容量 单 
位 。DynamoDB 会 在 底层 增加 服务 
器 


在 本 地 安 |DynamoDB 不 提供 下 载 。 仅 可 以 以 
装 数据 库 | 服务 的 方式 使 用 下 载 数据 库 软 人 


| 寻找 熟悉 SQL 或 者 专业 技术 的 人 
人 才 ， 取 决 于 具体 的 数据 库 引擎 


10.2 开发 者 需要 了 解 的 DynamoDB 内 容 


DynamoDB 以 键 值 存 储 的 方式 组 织 表 里 的 数据 。 每 个 表 包 含 了 使 
用 键 (Key) 来 代表 的 项 目 UE) 。 一 个 表 还 可 以 包含 二 级 索引 ， 用 
来 提供 基于 主键 以 外 的 数据 得 询 功能 。 在 本 和 中 ， 你 将 看 到 这 些 
DynamoDB 的 基本 组 件 ， 并 且 最 后 将 比较 它 和 其 他 NoSQL 数 据 库 的 不 


同 


10.21 表 、 项 目 和 属性 


DynamoDB 的 表 和 需要 起 一 个 名 字 ， 表 里 组 织 项 目的 集合 。 一 个 项 
目 包含 了 属性 的 集合 。 一 个 属性 就 是 一 个 名 一 值 对 。 属 性 的 值 可 以 是 
基本 类 型 (如 数值 、 字 符 串 、 二 进 制 、 布 尔 型 ，、 复 合 类 型 (数字 
集 、 字 符 串 集 、 二 进 制 集 ) 或 者 一 个 JSON 文 档 (对 象 、 数 组 ) o TER 
里 的 项 目 不 需 要 一 定 有 相同 的 属性 ;没有 强制 的 模式 。 


可 以 从 管理 控制 台 、CloudFormation、SDK 或 者 命令 行 来 创建 表 
(现在 先 不 要 使 用 下 面 的 命令 创建 表 ， 本 章 稍 后 将 创建 一 个 
DynamoDB 表 ) : 


$ aws dynamodb create-table --table-name app-entity \ 

择 一 个 名 字 ， 如 app-entity 

--attribute-definitions AttributeName=id,AttributeType=S \ 

名 为 id 的 属性 类 型 为 字符 串 

--key-schema AttributeName=id, KeyType=HASH \ ~- -主键 使 用 id 属性 
--provisioned-throughput ReadCapacityUnits=5,WriteCapacityUnits=5 


—--7£10.9 市 将 提供 读 容量 单位 和 写 容量 单位 的 内 容 


如 果 计 划 让 多 个 应 用 程序 使 用 DynamoDB， 好 的 实践 是 用 应 用 程 
序 的 名 称 作为 表 名 字 的 前 级 。 可 以 通过 管理 控制 台 创建 表 。 注 意 不 能 
修改 表 的 名 字 ， 也 不 能 修改 主键 的 模式 。 但 是 随时 可 以 添加 属性 的 定 
义 和 修改 配置 的 吞吐 量 。 


10.2.2 ”主键 


主键 在 表 里 唯一 ， 并 唯一 地 标识 一 个 项 目 。 你 需要 使 用 主键 来 得 
找 一 个 项 目 。 主 键 可 以 是 一 个 分 区 键 或 者 由 一 个 分 区 键 和 一 个 排序 键 
组 成 复合 主键 。 


1. SRE 


AP KEH A HER BEB B85 | o WR EET 
分 区 键 查 找 一 个 项 目 ， 需 要 知道 准确 的 分 区 键 值 。 一 个 用 户 表 可 以 使 
用 用 户 电子 邮件 作为 分 区 主键 。 如 果 你 知道 用 户 的 分 区 键 (本 例 中 是 
电子 邮件 地 址 ) ， 束 可 以 获取 对 应 的 项 目的 数据 。 


2. 分 区 键 和 排序 键 


分 区 键 和 排序 键 使 用 项 目的 两 个 属性 来 创建 更 加 强大 的 索引 功 
能 。 第 一 个 属性 是 键 的 分 区 键 ， 第 二 个 属性 是 排序 键 。 要 查找 一 个 项 
目 ， 仍 然 需 要 知道 项 目的 分 区 键 ， 但 是 不 需要 知道 它 的 排序 键 。 相 同 
分 区 键 不 同 排序 键 的 项 目 顺序 存储 在 同一 个 分 区 。 这 样 可 以 从 一 个 特 
定 的 出 发 点 进行 范围 查询 。 一 个 消息 表 可 以 使 用 分 区 和 排序 键 作 为 主 
BE; 分 区 键 是 用 户 的 电子 邮件 ， 排 序 键 是 时 间 难 。 你 可 以 碍 找 用 户 在 
等 定时 间 之 后 发 的 所 有 请 妃 。 


10.2.3 与 其 他 NoSQL 数 据 库 的 对 比 


表 10-2 对 DynamoDB 和 其 他 NoSQL 数 据 库 做 了 比较 。 但 要 记 住 ， 
所 有 8 优势 和 劣势 ， 表 10-2 只 展示 了 高 级 别 的 比较 和 如 何在 
AWS o 


表 10-2 DynamoDB 和 一 些 NoSQL 数 据 库 的 不 同 


任 务 DynamoDB | MongoDB X | Neoj 图 形 存 | Cassandra | Riak KV 键 
键 值 存储 档 存储 储 列 式 存储 值 存 储 


任 Ome MongoDB XC | Neoj as Cassandra | Riak KV 键 
档 存储 列 式 存储 值 存储 


在 EC2 实 例 集 
和 A F j ne BE, 


维 管理 


| ATA COON | 增加 更 多 的 “| 增加 更 多 的 
it ensena EC2 实 例 |EC2 实 例 


10.2.4 DynamoDB 本 地 版 


假设 有 一 组 开发 者 在 使 用 DynamoDB 开 发 一 个 新 的 应 用 。 在 开发 
时 ， 每 个 开发 者 需要 一 个 隔离 的 数据 库 ， 以 免 损 坏 其 他 团队 成 员 的 数 
据 。 他 们 还 需要 进行 单元 测试 ， 以 保证 他 们 的 应 用 程序 可 以 正常 工 
作 。 你 可 以 使 用 CloudFormation 创 建 一 个 堆栈 来 给 每 个 开发 人 员 提 供 
单独 的 DynamoDB 表 ， 或 者 可 以 使 用 DynamoDB 本 地 版 % AWS 提 供 一 
个 基于 Java 的 DynamoDB 的 模型 ， 可 以 在 AWS 官 方 网 站 下 载 。 别 在 生 
产 环境 里 使 用 它 ! 它 仅 用 于 开发 环境 并 且 提 供 和 DynamoDB 相 同 的 功 
能 ， 但 是 底层 实现 不 同 : 只 有 API 是 一 样 的 。 


10.3 ”编写 任务 管理 应 用 程序 


为 了 最 小 化 引入 编程 语言 的 复杂 性 ， 你 将 使 用 Node js/JavaScript 来 
创建 一 个 小 的 任务 管理 应 用 ， 可 以 运行 在 本 地 电脑 的 终端 。 我 们 把 这 
个 应 用 称 为 nodetodo。nodetodo 将 使 用 DynamoDB 作 为 数据 库 。 
nodetodo 可 以 帮 你 实现 下 面 的 功能 : 


。 创建 和 删除 用 户 : 

。 创建 和 删除 用 户 : 

。 将 任务 标记 为 完成 ; 

。 使 用 各 种 过 滤 条 件 显 示 任 务 列表 。 


nodetodo 文 持 多 个 用 户 ， 并 且 可 以 跟踪 有 或 者 没有 到 期 日 期 的 任 
劣 。 欠 耳 带 助 用 户 处 理 多 个 任务 ， 任 务 避 以 梓 加 入 目录 。nodetod 通 过 
终 闻 访问 。 下 面 显 示 了 如 何 通 过 终端 访问 nodetodo 并 添加 一 个 用 户 
“(现在 先 别 运行 这 个 命令 ， 我 们 还 没有 实现 这 个 应 用 ) 


# node index.js user-add <uid> <email> <phone> 
释 ， 参数 用 <> 标 记 
$ node index.js user-add michael michael@widdix.de 0123456789 


-- -在 终端 执行 nodetodo 
=> user added with uid michael «--nodetodo 的 输出 写 入 到 STDOUT ER 
准 输 出 


要 添加 一 个 新 的 任务 ， 需 要 进行 如 下 操作 (现在 先 不 要 运行 这 个 
命令 ， 我 们 还 没有 实现 这 个 应 用 ) : 


# node index.js task-add <uid> <description> \ 

[<category>] [--dueat=<yyyymmdd>] 一 - -可 选 参数 用 [] 标 记 

$ node index.js task-add michael "plan lunch" --dueat=20150522 
二 - -命名 的 参数 调用 ， 使 用 - -name=valLue 指 定 参数 的 值 
=> task added with tid 1432187491647 ---tid 是 任务 的 ID 


用 户 可 以 像 下 面 这 样 将 任务 标记 为 完成 现在 先 不 要 运行 这 个 命 
令 ， 我 们 还 没有 实现 这 个 应 用 ) 


# node index.js task-done <uid> <tid> 
$ node index.js task-done michael 1432187491647 
=> task completed with tid 1432187491647 


用 户 还 可 以 列表 查看 所 有 任务 。 下 面 的 命令 显示 如 何 使 用 
人 运行 这 个 命令 ， 我 们 还 没有 实现 这 个 
DA 


# node index.js task-ls <uid> [<category>] [--overdue|--due|...] 
$ node index.js task-ls michael 


=> tasks [...] 


为 了 实现 一 个 直观 的 命令 行 工具 ，nodetodo 使 用 了 docopt， 一 个 命 


令 行 接口 摘 述 语言 ， 来 描述 命令 行 接口 。 文 持 的 命令 如 下 所 示 。 


USer-add 添加 新 用 户 到 nodetodo ° 
user-rm 一 ”删除 用 户 。 
User-1s 一 ”用 户 清 单 。 


User 显示 一 个 用 户 的 详细 信息 。 
task-add 添加 任务 到 nodetodo ° 


task-rm 一 删除 任务 。 

task-1s 一 一 使 用 过 滤 条 件 列 出 用 户 任务 。 
task- la 一 一 使 用 过 滤 条 件 按照 目录 列 出 任务 。 
task-done 标记 某 个 任务 为 完成 。 


在 本 章 下 面 的 几 廊 ， 我 们 将 实现 这 些 命令 。 代 码 清单 10-1 展 示 了 


所 有 的 CLI 的 命令 描述 ， 包 括 参 数 。 


代码 清单 10-1 ”使 用 docopt 的 CLI 命 令 行 描述 ， 使 用 nodetodo (cli.txt) 


nodetodo 


Usage: 
nodetodo user-add <uid> <email> <phone> 
nodetodo user-rm <uid> 


nodetodo user-ls [--limit=<limit>] [--next=<id>] 一- -命名 的 参数 
限制 和 可 选 的 下 一 个 参数 


nodetodo user <uid> 

nodetodo task-add <uid> <description> \ 

[<category>] [--dueat=<yyyymmdd>] ---category 参数 是 可 选 的 
nodetodo task-rm <uid> <tid> 

nodetodo task-ls <uid> [<category>] \ 

[ --overdue| --due| - -withoutdue]| --futuredue] -- -管道 符 代表 “或 者 ” 
nodetodo task-la <category> \ 

[ - -overdue| --due| - -withoutdue | - - futuredue | 

nodetodo task-done <uid> <tid> 


nodetodo -h | --help ---help 列 出 如 何 使 用 nodetodo 的 帮助 信息 
nodetodo --version 一- -版 本 信息 
Options: 


-h --help Show this screen. 


--version Show version. 


DynamoDB 和 在 关系 数据 库 中 使 用 的 创建 、 读 取 、 更 新 和 删除 数 
据 的 SQL 命令 完全 不 同 。 你 将 使 用 SDK 开 发 工具 包 调用 HTTP REST 
API 来 访问 DynamoDB ° 你 必须 把 DynamoDB 集 成 到 应 用 程序 里 ;不 能 
使 用 一 个 SQL 数据 库 的 应 用 直接 运行 访问 DynamoDB。 要 想 使 用 
DynamoDB， 需 要 编写 代码 ! 


10.4 ”创建 表 


DynamoDB 表 组 织 你 的 数据 。 在 建 表 的 时 候 不 需要 定义 表 里 的 项 
目 所 有 需要 的 属性 。DynamoDB 不 要 求 一 个 静态 的 模型 ， 这 一 点 和 传 
统 数据 库 不 同 ， 但 是 必须 定义 要 用 来 做 主键 的 属性 。 为 了 做 到 这 一 
点 ， 我 们 将 使 用 AWS 命 令 行 工 具 。aws dynamodb create-table 
命令 有 以 下 4 个 必需 的 选项 。 


table-name 一 一 表 的 名 字 (不 能 修改 ) 。 
attribute-defnitions 一 一 用 作 主 键 的 属性 的 名 字 和 类 型 。 
可 以 多 次 使 用 AttributeName=attr1，AttributeType=S 定 义 ， 
用 空格 键 隔 开 。 合 格 的 数据 类 型 包括 S (FFE) 、N (数值 ) 
和 B (二 进 制 ) 。 
Key-schema 用 作 主 键 的 一 部 分 的 属性 的 名 称 (不 能 修 
改 ) ， 包 含 一 个 或 者 两 个 
AttributeName=attri, KeyType=HASH 条 目 来 定义 分 区 键 和 
排序 键 。 合 格 的 类 型 为 HASH 类 型 和 RANGE 类 型 。 
provisioned-throughput 一 一 该 表 的 性 能 设置 ， 使 用 
ReadCapacityUnits=5,WriteCapacityUnits=5 Kt X 

〈( 见 10.9 节 对 这 部 分 内 容 的 介绍 ) 。 


现在 我 们 要 为 nodetodo 应 用 程序 创建 一 个 用 户 表 ， 并 为 所 有 任务 
创建 一 个 任务 表 。 


10.4.1 ”使 用 分 区 键 的 用 户 表 


在 为 nodetodo 用 户 创 建 表 之 前 ， 用 户 必 须 认真 考虑 表 的 名 字 和 主 
键 。 我 们 推荐 你 使 用 应 用 名 称 作 为 表 名 字 的 前 级 。 在 本 例 中 ， 表 的 名 
字 为 todo-user 。 在 选择 主键 的 时 候 ， 你 必须 考虑 将 来 要 运行 的 查 
询 和 数据 项 目 有 哪些 唯一 的 数据 。 用 户 会 有 一 个 唯一 的 ID， 称 为 uid 
， 所 以 使 用 uid 作为 主键 属性 。 你 必须 能 够 在 user 命令 中 使 用 uid 
来 查询 用 户 。 如 果 想 使 用 单一 属性 作为 主键 ， 可 以 创建 一 个 散 列 索 
引 : 一 个 基于 分 区 键 的 没有 排序 的 索引 。 下 面 的 示例 展示 了 一 个 用 户 
表 ， 使 用 uid 作为 主 分 区 键 : 


"michael" => { ---uid (“Michael”) ZED K#:; (}HSWMANAE 
个 项 目 
"uid": "michael", 
"email": "michael@widdix.de", 
"phone": "0123456789" 


} 

"andreas" => { =- -分 区 键 没 有 顺序 
"uid": "andreas", 
"email": "andreas@widdix.de", 
"phone": "0123456789" 

J 


因为 用 户 将 仅 使 用 已 知 的 uid 来 查询 ， 使 用 分 区 键 是 可 行 的 。 下 
面 将 使 用 AWS 命 令 行 创建 一 个 结构 和 之 前 示例 相同 的 用 户 表 : 


$ aws dynamodb create-table --table-name todo-user \ 一- - 表 名 使 
应 用 程序 的 名 字 作 为 前 缀 ， 避 免 未 来 发 生 冲突 
--attribute-definitions AttributeName=uid,AttributeType=S \ 和 一 - 
-项 目 必须 至 少 包含 一 个 属性 uid， 类 型 为 字符 串 


--key-schema AttributeName=uid, KeyType=HASH \ ~- - 主 分 区 键 使 用 uid 
alt 
--provisioned-throughput ReadCapacityUnits=5,WriteCapacityUnits=5 


---AD10.9 节 了 解 此 内 容 


创建 表 需 要 一 定 的 时 间 。 等 到 表 状 态 改 为 ACTIVE 即 可 。 可 以 使 
用 下 面 的 命令 检查 表 的 状态 : 


$ aws dynamodb describe-table --table-name todo-user ---CLI 命 


令 检 查 表 状态 
{ 


"Table": { 
"AttributeDefinitions": [ ~- - 表 的 属性 定义 
"AttributeName": "uid", 
"AttributeType": "S" 
} 
1, 


"ProvisionedThroughput": { 
"NumberOfDecreasesToday": 0, 
"WriteCapacityUnits": 5, 
"ReadCapacityUnits": 5 


ty 

"TableSizeBytes": 0, 

"TableName": "todo-user", 
"TableStatus": "ACTIVE", =- - 表 的 状态 


"KeySchema": [ =- -定义 为 主键 的 属性 
{ 


"KeyType": "HASH", 
"AttributeName": "uid" 


} 


1 
"TtemCount": 0, 
"CreationDateTime": 1432146267.678 


10.4.2 ”使 用 分 区 键 和 排序 键 的 任务 表 


任务 永远 属于 一 个 有 用户， 任务 相关 的 所 有 的 命令 都 包含 了 用 户 的 
ID。 为 了 实现 task-1s 命令 ， 你 需要 一 个 访问 根据 uid KAWE 
务 。 除 了 分 区 键 指纹 ， 你 可 以 使 用 一 个 分 区 键 和 排序 键 的 组 合 主键 。 
因为 和 任务 相关 的 所 有 交互 都 需要 用 户 ID， 你 可 以 选择 uid 作为 分 区 
键 和 一 个 任务 ID (tid) ， 创 建 的 时 间 改 ， 作 为 键 的 排序 部 分 。 现 在 
你 可 以 运行 包含 用 户 ID 的 查询 ， 如 果 需 要 的 话 ， 查 询 也 可 以 包含 任务 
ID ° 


TE 
| 
| 
| 


这 个 方案 有 一 个 限制 : 用 户 同一 时 间 戳 只 能 添加 一 个 任务 。 我 们 的 时 间 惟 使 用 最 小 单 
位 为 ms (SW) ， 这 应 该 没有 问题 。 但 是 你 需要 小 心 防止 用 户 同一 时 间 创建 两 个 任务 ， 这 


Tm 


会 导致 奇怪 的 结果 。 


分 区 键 和 排序 键 使 用 表 的 两 个 属性 。 对 于 主键 的 分 区 部 分 ， 系 统 
维护 了 一 个 没有 排序 的 散 列 索引 排序 部 分 存储 在 一 个 排序 的 范围 索 
引 。 分 区 和 排序 键 的 组 合 唯一 地 识别 一 个 项 目 。 下 面 的 数据 集 展 示 了 
没有 排序 的 分 区 部 分 和 排 过 顺序 的 排序 键 。 


["michael", 1] => { ---uid (“Michael”) 是 主键 的 分 区 键 ， tid (1) 是 了 
键 的 排序 键 

"uid": "michael", 

"tid": 1, 

"description": "prepare lunch" 


} 

["michael", 2] => { =- -排序 键 为 使 用 同一 分 区 键 的 项 目 
"uid": "michael", 
"tid": 2, 
"description": "buy nice flowers for mum" 


["michael", 3] => { 
"uid": "michael", 
"tid": 3, 
"description": "prepare talk for conference" 


} 
["andreas", 1] => { - -分 区 键 没 有 顺序 
"uid": "andreas", 
"tid": 1, 
"description": "prepare customer presentation" 


} 
["andreas", 2] => { 
"uid": "andreas", 
"tid": 2, 
"description": "plan holidays" 


nodetodo 提 供 获 取 一 个 用 户 的 所 有 任务 的 功能 。 如 果 任 务 只 有 一 
个 分 区 主键 ， 这 将 非常 困难 ， 因 为 你 需要 知道 所 有 的 主键 才能 从 
DynamoDB 获 取 这 些 数据 。 笠 和 运 的 是 ， 分 区 和 排序 键 让 事情 更 加 容 
易 ， 因 为 只 需要 知道 主键 的 分 区 部 分 就 可 以 获取 所 有 的 项 目 。 对 于 任 
务 ， 你 将 使 用 uid 作为 已 知 分 区 部 分 。 排 序 部 分 是 tid 。 任 务 ID 使 用 


创建 任务 时 的 时 间 稚 来 定义 。 你 将 创建 任务 表 ， 使 用 两 个 属性 来 创建 
分 区 和 排序 索引 。 


$ aws dynamodb create-table --table-name todo-task \ 
--attribute-definitions AttributeName=uid,AttributeType=S \ 
-组 合 主键 需要 至 少 两 个 属性 

AttributeName=tid,AttributeType=N \ 


--key-schema AttributeName=uid, KeyType=HASH x 
AttributeName=tid, KeyType=RANGE \ ---tid 属性 是 主键 的 排序 键 部 分 
--provisioned-throughput ReadCapacityUnits=5,WriteCapacityUnits=5 


等 待 表 状态 改变 ， 直 到 aws dynamodb describe-table - 
name todo-task 显示 表 的 状态 为 ACTIVE 。 现 在 两 张 表 都 
经 台 绪 ， 你 将 添加 一 些 数 据 。 


10.5 ”添加 数据 


现在 有 两 张 表 在 活路 状态。 要 使 用 它们 ， 需 要 添加 一 些 数据 。 我 
们 将 使 用 Node.js SDK 来 访问 DynamoDB。 在 添加 用 户 和 任务 之 前 ， 我 
们 需要 先 设 置 SDK 和 部 署 现成 的 代码 。 


Node.js 是 一 个 在 事件 
HAMA o Z Node js, 


区 动 环境 下 执行 JavaScript 代 码 的 平台 ， 因 此 用 户 可 以 轻松 地 构建 
可 以 访问 Node.js 官 方 网 站 并 且 下 载 适合 的 操作 系统 包 。 


安装 完 Node.js， 就 可 以 运行 node --version 来 确认 一 切 就 绪 。 用 户 的 终端 应 该 返 
回 一 些 类 似 v9 .12 .* 的 输出 ， 此 时 就 可 以 运行 使 用 AWS 的 nodetodo 这 样 的 JavaScript 示 例 。 


在 开始 使 用 Node.js 和 docopt 前 ， 用 户 需 要 一 些 命令 来 载 入 所 有 的 
依赖 包 和 配置 工作 。 代 码 清 单 10-2 展 示 了 如 何 操 作 。 


[代码 在 哪里 下 


羊 ， 读 者 可 以 在 下 载 的 源 代码 中 找到 这 些 代码 ，nodetodo 位 于 chapter10/。 


docopt 负 责 读 取 传 递 给 进程 的 所 有 参数 。 它 返回 一 个 JavaScript 对 
象 ， 对 象 里 的 变量 映射 到 CLI 中 描述 的 参数 。 


代码 清单 10-2 ”nodetodo: 在 Node.js (index.js) 中 使 用 docopt 


var fs = require('fs'); -- -加 载 fs 模块 访问 文件 系统 
var docopt = require('docopt'); -- -加 载 docopt 模块 来 读 取 输 入 参数 
var moment = require('moment'); ~- -加 载 noment 模块 简化 JavaScript 
中 的 temporalI 临 时 类 型 
var AWS = require('aws-sdk'); ---Mcli.txt 读 取 CLI 的 描述 
var db = new AWS.DynamoDB({ 

"region": "us-east-1" 


{"encoding": "utf8"}); 


var input = docopt.docopt(cli, { 一- -解析 参数 并 保存 到 输入 变量 
"version": "1.0", 
"argv": process.argv.splice(2) 


}); 


接 下 来 瓯 实现 nodetodo 的 特性 ， 可 以 使 用 putItem SDK 探 作 像 下 
面 这 样 同 DynamoDB 添 加 数据 : 


var params = { 
"Item": { ~-- 所 有 项 目的 属性 为 名 称 - BUT 
"attr1": {"S": "val1"}, =- -字符 串 类 型 以 S 标记 
"attr2": {"N": "2"} -数字 类 型 ( 浮 点 型 和 整 型 ) 以 N 标 记 


ty 
"TableName": "app-entity" -- -添加 项 目 到 app-entity 表 
}; 


db.putItem(params, function(err) { -- -调用 DynamoDB 的 putItem 操作 
if (err) { =- -处 理 错误 
console.error('error', err); 
} else { 
console.log('success'); 
} 
}); 


第 一 步 是 添加 数据 到 nodetodo 。 


10.5.1 ”添加 一 个 用 户 


可 以 调用 nodetodo user-add <uid> <email> <phone> 


命令 来 添加 用 户 到 nodetodo。 在 Node.js 中 ， 可 以 用 代码 清单 10-3 中 的 
代码 实现 这 一 点 。 


代码 清单 10-3 nodetodo: 添加 一 个 用 户 (index.js) 


if (input['user-add'] === true) { 
var params = { 
"Item": { 
"uid": {"S": input['<uid>']}, -- -项目 包含 所 有 属性 。 
性 ， 所 以 必须 在 添加 数值 时 告诉 DynamoDB 哪些 属性 是 键 ---ui 
类 型 ， 包 含 uid 的 参数 值 
"email": {"S": input['<email>']}, <--email BYERA 
串 ， 包 含 电 子 邮件 的 参数 值 
册 {"S": input['<phone>']}, ---phone 电话 属性 大 
分 电话 号 码 的 参数 值 


"TableName": "todo-user", -- -指定 用 户 表 

"ConditionExpression": "attribute not exists(uid)" 一- -WRK 
同样 的 键 执行 两 次 putItem 操作 ， 数 据 会 被 替换 。 配 合 ConditionExpression 条 件 表 
过 j 仅 在 不 存在 同样 键 的 情况 下 putItem 写 入 项 目 


db.putItem(params, function(err) { -- -调用 DynamoDB 的 putItem 操 
f 


if (err) { 
console.error('error', err); 
} else { 
console.log('user added with uid ' + input['<uid>']); 
} 
}); 
} 


调用 AWS API 时 ， 需 要 完成 下 面 的 操作 。 


(1) 创建 一 个 JavaScript 对 象 (映射 ) ， 使 用 需要 的 参数 
(params 变量 ) 作为 对 象 的 属性 


(2) 调用 AWS SDK 的 函数 。 


(3) 检查 响应 消息 中 是 否 包含 错误 ， 或 者 处 理 返回 的 数据 。 
这 样 ， 如 有 果 需 要 添加 一 个 任务 而 不 是 一 个 用 户 的 话 ， 只 需要 改变 
params 的 内 容 即 可 。 


10.5.2 ”添加 一 个 任务 


可 以 调用 nodetodo task-add <uid><description> 
[<category>][--duedate=<yyyymmdd>] 来 添加 任务 到 
nodetodo。 在 Node.js 中 ， 使 用 代码 清单 10-4 中 的 代码 实现 这 一 功能 。 


代码 清单 10-4 nodetodo: 添加 一 个 任务 (index.js) 


if (input['task-add'] === true) { 
var tid = Date.now(); =- -基于 当前 时 间 惟 来 创建 任务 ID (tid) 
var params = { 
"Item": 
"uid": {"S": input['<uid>']}, 
"tid": {"N": tid.toString()}, ---tid 属性 为 数值 类 型 ， 包 含 tid 
的 值 
"description": {"S": input['<description>']}, 
"created": {"N": moment().format("YYYYMMDD" )} —- -创建 的 属性 
为 数值 类 型 (格式 如 20150525) 
ty 
"TableName": "todo-task", =- -指定 任务 表 
"ConditionExpression": 
"attribute_not_exists(uid) and attribute_not_exists(tid)" 
}; 
if (input['--dueat'] !== null) { -- -如 果 设 置 了 可 选 的 dueat 人 参数， 
添加 该 值 到 项 目 中 
params.Item.due = {"N": input['--dueat']}; 
} 
if (input['<category>'] !== null) { -- -如 果 设 置 了 可 选 的 category 


参数 ， 添 加 该 值 到 项 目 中 
params.Item.category = {"S": input['<category>']}; 


db.putItem(params, function(err) { 一 - - 调 
操作 
if (err) { 
console.error('error', err); 
} else { 


ao 


用 DynamoDB 的 putItem 


console.log('task added with tid ' + tid); 


} 
4); 
} 


现在 用 户 就 可 以 添加 用 户 和 任务 到 nodetodo。 如 采 还 能 读 取 出 所 
有 这 些 数据 会 不 会 更 棒 ? 


10.6 ”获取 数据 


DynamoDB 十 一 个 键 值 存储 。 键 通 间 是 从 这 类 存储 中 获得 数据 的 
唯一 的 入 口 。 在 设计 DynamoDB 的 数据 模型 的 时 候 ， 用 户 必须 在 创建 
表 的 时 候 注 意 这 个 限制 (10.4 节 中 介绍 过 如 何 创建 表 ) 。 如 果 只 能 使 
J 幸运 的 是 ，DynamoDB 
提供 了 两 种 其 他 的 方法 来 查询 项 目 : 二 级 索引 查询 和 扫描 操作 。 
你 将 从 简单 的 主键 查询 开始 ， 然 后 继续 交 了 万 更 复杂 的 数据 获取 方式 。 


| DynamoDB Streams 


| 在 修改 数据 之 后 ，DynamoDB 人 允许 你 马上 查询 到 修改 后 的 数据 。DynamoDB Streams 捕 
oo aoe 写 操作 (创建 、 修 改 和 删除 ) ， 并 且 按 照 顺序 记录 对 给 定 分 区 键 的 项 目 
| 的 修改 探 


。 和 Ex 用 库 来 捕捉 数据 变更 相 比 ，DynamoDB Streams 以 更 优雅 的 方法 满 
足 FE a 


e DynamoDB Streams 可 以 帮助 把 表 里 的 数据 变更 复制 到 缓存 里 。 
。 DynamoDB Streams 可 以 帮助 把 数据 跨 区 域 复制 到 另外 一 张 表 里 。 


10.6.1 ”提供 键 来 获取 数据 


最 简单 的 获取 数据 的 方式 吏 是 使 用 它 的 主键 得 找 数据 。getItem 
SDK 操 作 可 以 从 DynamoDB 获 取 一 个 单独 的 项 目 : 


var params = { 


"Key" : { 


"attri": {"S": "vali"} -- -指定 组 成 键 的 属性 
ty 
"TableName": "app-entity" 
}; 
db.getItem(params, function(err, data) { -- -调用 DynamoDB 表 的 
getItem 操作 
if (err) { 
console.error('error', err); 
} else { 
if (data.Item) { 一- -检查 是 否 找到 项 目 
console.log('item', data.Item); 
} else { 
console.error('no item found'); 
} 
} 
}); 


nodetodo user <uid> 命令 必须 使 用 用 户 ID (uid) 来 获取 
一 个 用 户 的 信息 。 具 体 实现 的 Node.js AWS SDK 的 代码 如 代码 清单 10- 


5 所 示 。 


代码 清单 10-5 nodetodo: 提取 一 个 用 户 (index.js) 


a 


function mapUserItem(item) { -- -Helper 帮助 函数 转化 DynamoDB 返 回 的 
结果 
return { 
"uid": item.uid.S, 
"email": item.email.S, 
"phone": item.phone.S 


}; 
} 
if (input['user'] === true) { 
var params = { 
"Key": { 
"uid": {"S": input['<uid>']} 一- -按照 主键 uid 查找 用 户 
ty 
"TableName": "todo-user" ---fREN PR 
}; 
db.getItem(params, function(err, data) { <“-- 调 用 DynamoDB 的 
getItem 操作 
if (err) { 


console.error('error', err); 


} else { 
if (data.Item) { ~- -检查 是 否 找 到 满足 主键 参数 值 的 数据 
console.log('user', mapUserItem(data.Item) ); 
} else { 
console.error('user not found'); 


用 户 还 可 以 使 用 getItem 操作 使 用 分 区 键 和 排序 键 的 组 合 主键 来 


查询 数据 。 唯 一 的 不 同 是 ， 组 合 Key 有 两 个 条 目 而 不 是 之 前 的 一 个 ， 
getItem 返回 一 个 项 目 或 者 没有 项 目 返回 。 如 有 果 硕 望 一 次 查询 获取 多 
个 项 目 ， 束 必须 使 用 DynamoDB 的 查询 API。 


10.6.2 ”使 用 键 和 过 滤 来 查询 


如 果 和 希望 返回 一 组 项 目 而 不 只 是 一 个 项 目 ， 就 只 能 使 用 
DynamoDB 的 查询 API。 只 有 在 表 里 有 一 个 分 区 键 和 排序 键 的 时 候 ， 才 
能 使 用 分 区 键 返 回 多 个 项 目 。 否 则 ， 分 区 键 仅 返回 一 个 项 目 。 使 用 
query 查询 SDK 从 DynamoDB 返 回 一 组 项 目的 操作 如 下 : 


var params = { 
"KeyConditionExpression": "attri = :attrival AND attr2 = 
:attr2val", ~-- 键 必须 满足 的 条 件 。 如 果 有 分 区 键 和 排序 链条 件 ， 就 必须 使 用 
AND 操作 符 。 分 区 键 人 允许 的 操作 符 为 =。 排 序 键 人 允许 使 用 的 操作 符 为 =、>、<、>=、<=、 
BETWEEN... AND... 
"ExpressionAttributeValues": { 


":attrival": {"S": "val1"}, 一- -在 表达 式 中 引用 动态 值 
":attr2val": {"N": "2"} =- -始终 指定 正确 的 类 型 (Ss、N ANB) 
ty 
"TableName": "todo-task" 
}; 
db.query(params, function(err, data) { -- -调用 DynamoDB 的 query 
if (err) { 
console.error('error', err); 
} else { 


console.log('items', data.Items); 


} 


+); 


query 操作 还 允许 指定 一 个 可 选 的 FilterExpression WIEK 
达 式 。FilterExpression 过 滤 表 达 式 的 语法 类 似 
KeyConditionExpression 键 条 件 表 达 式 ， 但 是 过 滤 没 有 使 用 索 
引 。 过 滤 条 件 作 用 在 所 有 满足 KeyConditionExpression 查询 条 件 
的 返回 结果 上 。 


要 返回 一 个 特定 用 户 的 所 有 任务 ， 残 必须 查询 DynamoDB。 一 个 
任务 的 主键 是 uid 的 分 区 键 部 分 和 tid 的 排序 键 部 分 的 组 合 。 要 返回 
所 有 用 户 的 任务 ，KeyConditionExpression 只 需要 主键 的 分 区 键 
部 分 做 相等 运算 。Nodetodo task-ls <uid> [<category>] 

[ - -overdue| --due| --withoutdue| --futuredue] 的 代码 实现 
如 代码 清单 10-6 所 示 。 


代码 清单 10-6 nodetodo: 提取 任务 (index.js) 


function getValue(attribute, type) { «--Helper WAC 
可 选 的 属性 

if (attribute === undefined) { 

return null; 

} 

return attribute[type]; 
} 
function mapTaskItem(item) { «--Helper WHOYDynamoDBAyiR [AZ Rt 
行 转化 

return { 


"tid": item.tid.N, 
"description": item.description.S, 
"created": item.created.N, 
"due": getValue(item.due, 'N'), 
"category": getValue(item.category, 'S'), 
"completed": getValue(item.completed, 'N') 
}; 
} 


if (input['task-ls'] === true) { 
var now = moment().format("YYYYMMDD") ; 
var params = { 
"KeyConditionExpression": "uid = :uid", -- -主键 查询 。 任 务 表 使 


分 区 键 和 排序 键 。 查 询 中 只 使 用 了 分 区 键 ， 将 返回 所 有 满足 条 件 的 分 区 键 


Expires TONAT Eri utevelUes { 


"suid": {"S": input['<uid>']} —- -查询 属性 必须 以 这 样 的 格式 传 入 
}, 
"TableName": "todo-task" 
3; 
if (input['--overdue'] === true) { 
params.FilterExpression = "due < :yyyymmdd"; =- -过 滤器 不 使 用 


索引 。 在 所 有 满足 主键 查询 的 返回 结果 里 应 用 过 滤器 
params.ExpressionAttributeValues[':yyyymmdd'] = {"N": now}; 
-- -可 用 使 用 逻辑 操作 符 组 合 多 个 过 滤器 


} else if (input['--due'] === true) { 
params.FilterExpression = "due = :yyyymmdd"; 
params.ExpressionAttributeValues[':yyyymmdd'] = {"N": now}; 

} else if (input['--withoutdue'] === true) { 
Perens FilterExpression = Caters bute: not_exists(due)"; 一 - - 


Hu 


在 缺少 相应 的 属性 的 时 候 (与 attribute_exists 相反 ) 返回 

attribute_not_exists(due)Atrue 

} else if (input['--futuredue'] === true) { 
params.FilterExpression = "due > :yyyymmdd"; 
params.ExpressionAttributeValues[':yyyymmdd'] = {"N": now}; 

} 


if (input['<category>'] !== null) { 
if (params.FilterExpression === undefined) { 
params.FilterExpression = ''; 
} else { 
params.FilterExpression += ' AND '; -- -多 个 过 滤器 可 以 和 逻辑 运 
算 符 组 合 
params.FilterExpression += 'category = :category'; 


params.ExpressionAttributeValues[':category'] = {"S": 
input['<category>']}; 


} 
db.query(params, function(err, data) { -- -调用 DynamoDB 的 查询 操 
作 
if (err) { 
console.error('error', err); 
} else { 


console.log('tasks', data.Items.map(mapTaskItem) ); 
} 
+); 
} 


查询 API 调 用 会 产生 以 下 两 个 问题 。 


。 如 果 满 足 主 键 查 询 的 结果 集 很 大 ， 过 滤 性 能 可 能 很 慢 。 过 滤 条 件 
没有 使 用 索引 : 每 个 返回 的 项 目 都 必须 进行 检查 。 想 象 一 下 ， 如 
果 DynamoDB 里 面 保存 的 是 股票 价格 ， 使 用 了 分 区 键 和 排序 键 : 
分 区 键 值 是 AAPL (Apple 苹 果 公 司 股票 代码 ) ， 排 序 键 是 时 间 
改 ， 你 可 以 查询 到 苹果 公司 (AAPL) 在 2010 年 1 月 1 日 到 2015 年 1 
月 1 日 之 间 的 所 有 股价 信息 。 但 是 如 果 只 希望 返回 每 周一 的 价格 ， 
E 仅 返 回 结果 集中 的 20% 的 数据 。 那 将 浪费 
很 多 资源 ! 

可 以 只 查询 主键 。 不 可 能 只 返回 所 有 用 户 的 属于 某 个 特定 的 目录 
的 任务 ， 因 为 不 能 针对 category 属性 进行 查询 。 


我 们 可 以 使 用 二 级 索引 解决 这 些 问 题 。 下 面 我 们 号 来 看 一 下 二 级 
索引 是 如 何 工作 的 。 


10.6.3 ”更 灵活 地 使 用 二 级 索引 查询 数据 


二 级 索引 是 DynamoDB 自 动 维护 的 原来 那 张 表 的 映射 。 可 以 像 查 
询 一 张 表 的 主键 那样 查询 一 个 二 级 索引 。 可 以 把 全 局 二 级 索引 想象 为 
一 个 DynamoDB 表 的 只 读 副 本 ，DynamoDB 服 务 会 目 动 更 新 索引 表 里 
的 数据 : 一 旦 你 修改 了 主 表 里 的 数据 ， 所 有 的 索引 束 会 异步 地 更 新 
(最 终 一 致 ! ) 。 图 10-2 展 示 了 二 级 索引 的 工作 方式 。 


DynamoDB 在 修改 表 时 异步 更 新 二 级 索引 


任务 表 二 级 索引 
uid d description,category category tid descrip uid 

= SSS 

michael 1 home home 1 michael 
[SSS 一 SS SS 

michael 4 work home 2 andreas 

andreas s hom work >) eee hael 

读 操作 和 写 操 作 读 操作 


图 10-2 二 级 索引 包含 了 用 户 表 数据 的 一 份 副 本 ， 以 便 基于 另外 的 键 来 快速 查询 
使 用 二 级 索引 需要 付出 成 本 : 索引 需要 存储 容量 (和 源 表 的 存储 


成 本 一 样 ) 。 你 必须 为 索引 配置 额外 的 写 容 量 单位 ， 因 为 每 个 对 主 表 
的 写 入 操作 都 会 造成 到 二 级 索引 的 写 操 作 。 


DynamoDB 的 一 个 很 大 的 优势 是 可 以 根据 工作 负载 动态 配置 性 能 
的 容量 单位 。 如 有 果 你 的 一 个 索引 接 到 了 大 量 的 读 请 求 ， BY DASE 
eae °。 还 可 以 精细 化 地 调整 表 和 索引 的 性 能 。10.9 市 将 介绍 
HIH ER 


回 到 nodetodo 的 例子 上 。 为 了 实现 按照 目录 来 读 取 任务 列表 的 需 
求 ， 你 将 为 todo -task 表 添加 一 个 二 级 索引 。 这 将 允许 你 按照 目录 来 
查询 。 一 样 用 到 了 分 区 键 和 排序 键 : 分 区 键 是 category 属性 ， 排 序 
键 是 tid 属性 。 索 引 还 需要 一 个 名 字 : category-index CTA 
查看 在 nodetodo 的 代码 目录 下 的 README.md 找 到 下 面 的 命令 : 


$ aws dynamodb update-table --table-name todo-task \ -- -在 创建 
表 的 时 候 添 加 全 局 二 级 索引 

--attribute-definitions AttributeName=uid,AttributeType=S \ 
AttributeName=tid,AttributeType=N \ 

AttributeName= category,AttributeType=sS \ -- -添加 一 个 目录 category 
对 性 ， 因 为 索引 将 用 到 该 属性 
--global - secondary-index-updates '[{\ 

"Create": {\ =- -创建 新 的 二 级 索引 

"IndexName": "category-index", \ 

"KeySchema": [{"AttributeName": "category", "KeyType": "HASH"}, \ 
---category 属性 为 主键 的 分 区 部 分 ，tid 属 性 是 排序 部 分 

{"AttributeName": "tid", "KeyType": "RANGE"}], \ 

"Projection": {"ProjectionType": "ALL"}, \ -- -EPA PERRY Bl 
索引 

"ProvisionedThroughput": {"ReadCapacityUnits": 5, \ 
"WriteCapacityUnits": 5}\ 

}}] 


创建 全 局 二 级 索引 的 需要 一 定 的 时 间 ， 可 以 使 用 命令 查看 索引 是 
否 进 入 active 活 动 状态 : 


$ aws dynamodb describe-table --table-name=todo-task \ 


--query "Table.GlobalSecondaryIndexes" 


代码 清单 10-7 展 示 了 使 用 query 操作 实现 nodetodo task-la 
<category> [--overdue]...] 的 代码 。 


代码 清单 10-7 nodetodo: 从 目录 索引 获取 任务 (index.js) 


if (input['task-la'] === true) { 
var now = moment().format("YYYYMMDD") ; 
var params = { 
"KeyConditionExpression": "category = :category", ~- -查询 索 
引 一 样 需要 以 主键 作为 查询 条 件 
"ExpressionAttributeValues": { 
":category": {"S": input['<category>']} 
ty 
"TableName": "todo-task", 
"IndexName": "category-index" -- -但 是 你 可 以 指定 使 用 哪个 索引 查询 


}; 
if (input['--overdue'] === true) { 
params.FilterExpression = "due < :yyyymmdd"; =- -过 滤器 的 使 用 
方法 和 基于 主键 查询 一 样 
params.ExpressionAttributeValues[':yyyymmdd'] = {"N": now}; 
} 
Lees | 
db.query(params, function(err, data) { 
if (err) { 
console.error('error', err); 
} else { 
console.log('tasks', data.Items.map(mapTaskItem) ); 


} 
J); 
} 


但 是 查询 也 会 有 无 法 满足 的 情况 : 无 法 提取 所 有 的 用 户 。 下 面 来 
了 解 一 下 表 扫 描 可 以 帮 我 们 实现 哪些 功能 。 


10.6.4 ”扫描 和 过 滤 表 数据 


有 些 查 询 只 针对 主键 是 无 法 满足 的 ;， 相反， 你 需要 裔 历 表 里 的 所 
有 项 目 。 这 种 操作 效率 很 低 ， 但 是 在 某 些 情况 下 是 可 以 接受 的 。 
DynamoDB 提 供 scan RFE REWA H ° 


var params = { 
"TableName": "app-entity", 
"Limit": 50 ~~ FEE BETS TRF A A A 


】 


db.scan(params, function(err, data) { -- -调用 DynamoDB 的 scan 扫描 


H 
操作 
if (err) { 
console.error('error', err); 
} else { 
console.log('items', data.Items); 
if (data.LastEvaluatedKey !== undefined) { 一- -检查 是 否 还 有 


多 项 目 可 供 扫描 
console.log('more items available'); 


} 
} 
+); 


代码 清单 10-8 展 示 了 nodetodo user-ls [--limit= 


<limit>] [--next=<id> ] 的 实现 。 它 使 用 了 分 页 的 机 制 来 防止 返 
回 太 多 的 项 目 。 


代码 清单 10-8 nodetodo: 分 页 获取 所 有 用 户 (index.js) 


if (input['user-ls'] === true) { 
var params = { 
"TableName": "todo-user", 


"Limit": input['--limit'] =- -每 次 扫描 操作 返回 的 项 目 数量 
}; 


if (input['--next'] !== null) { 
params.ExclusiveStartKey = { - -命名 的 参数 包含 上 一 次 获取 的 键 值 
"uid": {"S":; input['--next']} 

}; 


} 


db.scan(params, function(err, data) { --- 调 


作 


JDynamoDB 的 scan 操 


if (err) { 
console.error('error', err); 
} else { 


console.log('users', data.Items.map(mapUserItem) ); 
if (data.LastEvaluatedKey !== undefined) { 一 - -检查 


vE 


返回 了 所 有 的 项 目 
console.log('more users available with 
= --next=' + data.LastEvaluatedKey.uid.S); 


scan 操作 读 取 表 里 的 所 有 项 目 。 在 本 例 中 没有 过 滤 任 何 数据 ， 
但 是 可 以 配合 使 用 FilterExpression 过 滤 表 达 式 。 注 意 不 要 频繁 
使 用 scan 操作 一 一 它 很 灵活 但 不 够 高 效 。 


10.6.5 “最 终 一 致 地 数据 提取 


DynamoDB 不 文 持 传 统 数据 库 文 持 的 事务 。 不 能 在 一 个 事务 中 修 
es ` 更 新 和 删除 ) 多 个 项 目 一 一 项 目 是 DynamoDB 中 的 原子 
RIFET ° 


另外 ，DynamoDB 赴 最终 一 致 的 。 这 意味 着 如 采 创 建 了 一 个 项 目 
(版 本 1) ， 更 新 该 项 目 到 第 二 个 版 本 ， 然 后 马上 读 取 该 项 目 ， 你 可 能 
还 会 看 到 有 旧 的 版 本 1 的 数据 ;如 果 等 待 一 下 然后 获取 该 项 目 ， 会 看 到 版 
本 2。 图 10-3 展 示 了 这 个 过 程 。 不 同 的 服务 右 服 务 用 户 的 查询 请 求 ， 但 
古 请 求 到 达 的 DynamoDB 服 务 器 上 可 能 没有 最 狐 版 本 的 数据 。 


BO we 
服务 器 2 ne we 
项 目 版 本 1 
服务 器 1 -2 -$ 
项 目 版 本 1 项 目 版 本 2 
时 间 \ \ 
写 入 项 目 更 新 项 目 读 取 项 目 读 取 项 目 
(版 本 1) (版 本 2) (版 本 1) (版 本 2) 


图 10-3 ”在 写 操作 更 新 到 所 有 后 端 服务 器 之 前 ， 最 终 一 致 的 读 操 作 可 能 返回 旧 的 数据 


可 以 设置 "ConsistentRead":true 的 选项 来 向 DynamoDB 请 
求 强 一 致 鸭 读 操 作 ， 以 避免 读 取 到 最 终 一 致 的 数据 。getItem ` 
query 和 scan 等 操作 文 持 强 一 致 的 读 选 项 。 但 是 强 一 致 的 读 操作 要 
花 更 多 的 时 间 ， 和 最 终 一 致 的 读 操 作 相 比 会 消 耗 更 多 的 读 单位 容量 。 
| 读 到 的 数据 永远 是 最 终 一 致 的 ， 因 为 索引 自身 是 最 终 


10.7 ”删除 数据 


和 getItem 操作 类 似 ，deleteItem 操作 需要 指定 要 删除 的 项 
目的 主键 值 。 根 据 表 使 用 的 主键 类 型 的 不 同 (5 区 主键 还 是 分 区 和 排 
序 组 合 主键 ) ， 你 需要 指定 一 个 或 者 两 个 属性 


调用 nodetodo user-rm <uid> 可 以 删除 一 个 用 户 。 在 Node.js 
中 ， 如 代码 清单 10-9 所 示 。 


代码 清单 10-9 ”nodetodo: 移 除 用 户 (index.js) 


if (input['user-rm'] === true) { 
var params = { 
" Key" : 
"uid": {"S": input '<uid>"]} 一- -按照 分 区 键 识别 一 个 项 目 


KB 


ty 
"TableName": "todo-user" «--##Euser APR 


}; 
db.deleteItem(params, function(err) { -- -调用 DynamoDB 的 


deleteItem 属性 
if (err) { 
console.error('error', err); 
} else { 
console.log('user removed with uid ' + input['<uid>']); 


} 
H); 
} 


删除 一 个 任务 的 操作 也 类 似 : nodetodo task-rm <uid> 
<tid> 。 唯 一 的 不 同 是 需要 使 用 表 的 名 称 、 提 供 分 区 键 和 排序 键 来 识 
别 一 个 特定 的 项 目 ， 如 代码 清单 10-10 所 示 。 


代码 清单 10-10 nodetodo: 移 除 一 个 任务 (index.js) 


if (input['task-rm'] === true) { 
var params = { 
"Key" : { 
"uid": {"S": input['<uid>']}, 
"tid": {"N": input['<tid>']} 一- -使 用 分 区 键 和 排序 键 识 别 一 个 项 目 


}, 
"TableName": "todo-task" -- -指定 任务 表 


db.deleteItem(params, function(err) { 
if (err) { 
console.error('error', err); 
} else { 
console.log('task removed with tid ' + input['<tid>']); 


} 
p); 
} 


现在 我 们 学 会 了 创建 、 读 取 和 删除 DynamoDB 中 的 项 目 ， 唯 一 没 
讲 的 操作 就 是 更 新 数据 。 


10.8 ”修改 数据 


更 新 项 目 可 以 使 用 updateItem 操作 。 用 户 必须 通过 其 键 来 识别 
你 想 更 新 的 项 目 ， 用 户 也 可 以 提供 一 个 UpdateExpression 更 改 表 
a ale 。 可 以 使 用 更 新 操作 的 一 种 或 者 几 种 


。 使 用 SET 来 覆盖 或 者 创建 一 个 新 的 属性 ， 如 SET 
attri=:attrival, SET attri=attr2+:attr2val, SET 
attri = :attrival, attr2 = :attr2val ° 

。 使 用 REMOVE 来 删除 一 个 属性 ， 如 REMOVE attri, REMOVE 
attr1, attr2 œ 


在 nodetodo 应 用 中 ， 可 以 使 用 nodetodo task-done <uid> 
<tid> 来 标记 一 项 任务 为 完成 。 为 了 实现 这 个 功能 ， 需 要 修改 任务 的 
项 目 ， 如 代码 清单 10-11 中 的 Node.js 代 码 所 示 。 


代码 清单 10-11 nodetodo: 修改 任务 为 完成 (index.js) 


if (input['task-done'] === true) { 
var now = moment().format("YYYYMMDD" ); 
var params = { 
"Key" : { 


"uid": { "S": input['<uid>']}, =- -使 用 分 区 键 和 排序 键 识别 一 个 项 


£ 
"tid": { "N": input['<tid>']} 
ty 
"UpdateExpression": "SET completed = :yyyymmdd", =- -定义 要 修 
改 哪个 属性 
"ExpressionAttributeValues": { 
"iyyyymmdd": {"N": now} =- -必须 以 这 样 的 格式 定义 属性 修改 
"TableName": "todo-task" 
}; 
db.updateItem(params, function(err) { -- -调用 DynamoDB 的 
updateItem 修 改 属性 操作 
if (err) { 
console.error('error', err); 
} else { 
console.log('task completed with tid ' + input['<tid>']); 
} 
}); 


} 


10.9 扩展 容量 


在 创建 一 个 DynamoDB 的 表 或 者 索引 的 时 候 ， 必 须 配置 吞吐 量 。 
吞吐 量 分 为 读 容 量 单位 和 写 容 量 单位 。DynamoDB 使 用 
ReadCapacityUnits 和 WritecapacityUnits 来 分 别 指定 表 或 者 
全 局 二 级 索引 的 吞吐 量 性 能 。 但 是 ， 容 量 单位 (Capacity Unit) 如 何 
定义 呢 ? 我 们 通过 命令 行 接口 来 体验 一 下 : 


$ aws dynamodb get-item --table-name todo-user \ 
--key '{"uid": {"S": "michael"}}'" \ 
--return-consumed-capacity TOTAL \ -- -告诉 DynamoDB 返回 使 用 的 容量 


单位 
--query "ConsumedCapacity" 


"CapacityUnits": 0.5, «--getItem 操作 使 用 了 0.5 个 容量 单位 
"TableName": "todo-user" 


} 

$ aws dynamodb get-item --table-name todo-user \ 

--key '{"uid": {"S": "michael"}}' \ 

--consistent-read --return-consumed-capacity TOTAL \ -- - FR 


的 读 操 作 


--query "ConsumedCapacity" 


"CapacityUnits": 1.0, -- -需要 两 倍 的 容量 单位 
"TableName": "todo-user" 


} 


天 于 吞吐 量 的 消耗 的 更 多 信息 如 下 所 示 。 
。 和 强 一 至 的 读 操 作 相 比 ， 最 终 一 致 的 读 操 作 消耗 一 半 的 读 容 量 音 


位 

。 如果 一 个 项 目的 大 小 不 超过 4 KB， 强 一 致 的 getItem 操作 消耗 
一 个 读 容 量 单位 。 如 果 项 目 超过 4 KB 大 小 ， 你 需要 额外 的 读 容量 
单位 。 你 可 以 使 用 roundUP (itemSize/4) 计算 需要 多 少 单 
位 。 

对 4 KB 大 小 的 query 进行 一 个 强 一 致 的 查询 ， 需 要 消耗 一 个 读 容 
量 单位 。 这 意味 着 如 果 查 询 返 回 10 个 项 目 ， 每 个 项 目的 大 小 是 2 
KB， 总 的 项 目 大 小 为 20KB， 会 需要 5 个 读 容量 单位 。 和 10 个 
tem 操作 相 比 很 不 一 样 ，getItem 的 操作 将 使 用 10 个 读 容 
量 单位 。 

对 1 KB 大 小 的 项 目的 1 个 写 操作 ， 会 消耗 一 个 写 容 量 单位 。 如 果 
项 目 超 过 1 KB， 可 以 使 用 roundUP (itemSize) 取 整 计算 所 需 
要 的 写 容 量 单 位 。 


如 条 不 熟悉 容量 单位 的 概念 ， 可 以 使 用 AWS 简单 月 度 成 本 计算 
am, RESIN, Cane ore Ae AY o 


表 和 索引 的 吞吐 量 配 置 以 每 秒 为 单位 来 计算 。 如 果 使 用 
ReadCcapacityUnits=5 来 设置 每 秒 5 个 读 容 量 单 位 ， 并 且 该 表 的 项 
目的 大 小 不 超过 4 KB， 每 秒 钟 就 可 以 对 该 表 进 行 5 个 强 一 致 的 
getItem 请 求 。 如 果 用 户 提 区 超过 配置 容量 的 请 求 ，DynamoDB 会 拒 
绝 超 出 的 请 求 。 


监控 读 容量 和 写 容 量 单位 的 使 用 量 很 重要 。 科 运 的 是 ， 
DynamoDB 服 务 每 分 钟 会 同 CloudWatch 服 务 发 送 有 用 的 指标 。 要 查看 
这 些 指标 ， 打 开 AWS 管 理 控 制 台 ， 访 问 到 DynamoDB 服 务 的 页 面 ， 选 
择 其 中 的 todo-user 表 ， 然 后 选择 “指标 ?选项 卡 。 图 10-4 展 示 了 
todo -user 表 的 CloudWatch 指 标 。 


a ARPA, ELL A RE CHF 


时 别 忘 了 删除 DynamoDB 的 表 。 使 用 


todo-use@+ Ga E (2) 
概述 TR HOR ”容量 索引 BR 访问 控制 mE 

查看 全 部 CloudWatch Hin C 时 间 范 围 | 最 近 1 小 时 +) SS 
读 取 容量 单位 / 秒 - 1 分 钟 平均 值 O = 受 限 的 读 取 请 求 数量 写 入 容量 单位 秒 - 1 分 钟 平均 值 0 


9/7 9/7 
05:00 05:30 


ene MB 已 使 用 Bene M 已 使 用 


受 限 的 写 入 请 求 数量 
200 
150 
100 
if 使 用 的 容量 单位 超过 了 
917 配置 的 容量 单位 
p5:00 
a ot g” 
已 使 用 的 读 容量 单位 当 使 用 的 容量 单位 过 多 时 ， 


请 求 会 被 限制 


图 10-4 监控 配置 和 使 用 的 DynamoDB 表 的 容量 单位 


10.10 “小结 


。 DynamoDB 是 一 个 NoSQL 的 数据 库 服 务 ， 用 户 不 再 有 任何 运 维 管 
n 可 以 很 方便 地 扩展 ， 在 多 种 情况 下 用 作 应 用 程序 的 后 
IATA 

。 对 DynamoDB 表 的 数据 的 查询 基于 键 。 只 有 在 知道 键 值 的 情况 下 
才能 对 一 个 分 区 键 进行 查询 。 但 是 是 DynamoDB 还 支持 分 区 键 和 排 
FHE, 这 在 分 区 键 之 外 提供 了 额外 的 排序 键 。 


可 以 提供 键 给 getItem 操作 以 返回 一 个 项 目 。 

如 有 需要 ， 可 以 指定 强 一 致 的 读 操作 (getItem » query 和 
scan) 。 对 全 局 二 级 索引 提交 的 读 操 作 永远 是 最 终 一 致 的 。 
DynamoDB 不 提供 SQL 接口 。 不 同 的 是 ， 需 要 使 用 SDK 来 让 应 用 
程序 和 DynamoDB 通 信 。 这 也 意味 着 必须 修改 现 有 的 应 用 程序 的 
代码 ， 才 能 让 它 使 用 DynamoDB 。 

DynamoDB 使 用 表达 式 来 完成 更 加 复杂 的 数据 库 交 互 ， 例 如 ， 在 
需要 修改 一 个 项 目的 时 候 。 

如 果 想 要 为 表 和 索引 配置 足够 的 容量 单位 ， 监 控 使 用 的 读 容量 和 
写 容量 单位 就 非常 重要 。 

DynamoDB 按 照 使 用 的 每 GB 存储 容量 和 预 配置 的 读 容 量 和 写 容 量 
量 单位 来 收费 。 

可 以 使 用 query 操作 来 查询 主键 或 者 二 级 索引 。 

scan 操作 很 灵活 ， 但 是 效率 不 高 ， 尽 量 避 免 使 用 该 操作 。 


第 四 部 分 “在 AWS 上 搭 架构 


Amazon.com 的 CTO 沃 纳 ' 威 格 尔 (Werner Vogels) 经 常 被 引用 的 一 
Aa ce: “每 个 事物 在 任何 时 间 都 可 能 失效 。” 这 句 话 是 AWS 背 后 的 
一 个 重要 的 理念 。 不 要 试图 让 目 己 的 系统 牢 不 可 ， 这 是 一 个 无 法 达到 
的 目标 ， 而 AWS 束 是 为 了 应 对 失效 而 设计 的 。 人 硬盘 驱动 器 会 出 现 故 
障 ， 因 此 S3 服 务 将 数据 存储 在 多 个 硬盘 上 ， 以 防止 数据 丢失 。 计 算 机 
人 硬件 会 发 生 故 障 ， 如 果 需 要 虚拟 服务 器 能 够 被 自 动 在 男 一 台 服 务 器 上 
重新 启动 。 数 据 中 心 也 可 能 失效 ， 因 此 每 个 区 域 有 多 个 数据 中 心 ， 这 
些 数据 中 心 可 以 同时 按照 需要 而 使 用 。 


在 本 书 的 这 一 部 分 ， 读 者 将 学 习 如 何 通 过 使 用 正确 的 工具 和 架 
构 ， 防 止 你 的 运行 在 AWS 上 的 应 用 程序 运行 中 断 。 下 面 的 表 中 列 出 了 
最 重要 的 服务 和 故障 处 理 的 方法 。 


S3 (对 象 存储 ) 、DynamoDB 
服务 可 以 从 失败 自动 恢复 ， 无 须 停 机 | (NoSQL 数 据 库 ) > Route 53 
(DNS) 


服务 可 以 自动 从 某 些 故障 中 恢复 ， 只 ”|RDS (关系 数据 库 ) 、EBS (网 
”| 需要 一 个 短暂 的 停机 时 间 络 存 储 ) 


务 不 能 够 实现 默认 的 故障 恢复 ， 但 
a 是 提供 于 建立 高 可 用 基础 设施 的 ”|EC2 (虚拟 服务 器 ) 


一 ~ 一 


面 问 失效 设计 是 AWS 的 一 个 基本 原则 ， 另 一 个 充分 利用 云 计算 的 
弹性 。 你 还 将 学 习 在 AWS 之 上 如 何 基 于 当前 的 工作 和 染 构 的 可 靠 性 要 
求 增加 虚拟 服务 右 的 数量 。 第 11 章 提供 了 关于 关于 单一 服务 器 和 数据 
中 心 失 效 风 险 基 础 知识 。 第 12 章 讨论 如 何 解 厢 系 统 以 提高 系统 的 可 靠 
性 : 采用 同步 解 而 以 及 利用 负载 均衡 器 的 帮助 ， 或 者 过 亚马逊 AWS 的 
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盖 了 基于 EC2 实 例 〈 非 默认 的 容错 ) ， 设 计 一 个 容错 的 Web 应 用 程 
序 。 第 14 章 是 关于 弹性 和 目 动 扩展 的 ， 将 学 习 根 据 计 划 或 当前 系统 负 
载 来 扩展 容量 。 


第 11 章 ”实现 高 可 用 性 : 可 用 区 、 目 动 扩 
展 以 及 CloudWatch 


本 章 主要 内 容 


。 使 用 CloudWatch 实 现 虚 拟 服 务 器 失效 告警 
。 理解 AWS 区 域 下 的 可 用 区 

。 使 用 自动 扩展 以 保证 虚拟 服务 器 的 正常 运行 
。 分 析 灾 难 恢复 的 需求 


在 本 章 中 ， 我 们 将 介绍 如 何 基于 EC2 实 例 搭建 一 个 高 可 用 性 染 
构 。 需 要 强调 的 一 点 是 ， 在 默认 情况 下 虚拟 服务 句 没 有 为 高 可 用 而 做 
设置 。 下 面 罗列 的 场景 将 会 导致 虚拟 服务 器 的 停机 。 


。 虚拟 服务 器 因为 软件 问题 (虚拟 服务 器 的 操作 系统 ) 失败 。 

。 发 生 在 宿主 机 服务 器 上 的 软件 故障 ， 导 致 虚拟 服务 器 的 朋 演 ( 宿 
主机 服务 器 的 操作 系统 或 者 虚拟 化 层 的 问题 ) 。 

。 物理 设备 上 的 计算 、 存 储 以 及 网 络 等 硬件 的 故障 。 

。 数据 中 心中 的 虚拟 服务 器 所 依赖 的 资源 的 故障 ， 如 网 络 连 毛 、 
电 以 及 制冷 系统 等 。 


例如 ， 如 有 果 物 理 主机 上 的 计算 机 硬件 出 现 故 障 ， 所 有 的 运行 在 该 
主机 上 的 EC2 实 例 将 会 失效 。 如 朱 用 户 在 一 台 受 改 障 影响 的 庶 拟 服务 
絮 上 运行 目 己 的 应 用 程序 ， 这 个 应 用 将 无 法 正常 运行 。 直 到 有 人 或 许 
是 用 户 自己 在 另 一 台 物 理 主 机 上 启动 一 个 新 的 虚拟 服务 器 。 为 了 避免 
这 些 情况 的 出 现 ， 你 应 当 瞄 准 具有 高 可 用 性 的 虚拟 服务 器 ， 可 以 在 无 
须 人 工 干预 的 情况 下 目 动 从 故障 中 恢复 。 


F 


本 章 中 的 所 有 示例 都 包含 在 免费 套餐 中 。 只 要 你 不 是 运行 这 些 示 例 好 几 天 ， 就 不 需要 


| 文 付 任何 费用 。 记 住 ， 这 仅 适 用 于 你 为 学 习 本 书 刚 刚 创 建 的 全 新 AWS 账 户 ， 并 oe 
ANSES Het 其 他 活动 。 T 几 天 的 时 间 里 完成 本 章 中 的 示例 ， 在 每 个 示例 完成 后 
| DAS =e: EM 


高 可 用 性 通常 被 描述 为 系统 的 运行 几乎 没有 停机 时 间 。 即 使 发 生 
故障 ， 系 统 也 能 够 以 较 大 的 可 能 性 继续 提供 服务 。 虽 然 需 要 短暂 的 中 
呆 以 便 系 统 从 故障 中 恢复 ， 但 是 这 个 过 程 不 需要 人 工交 互 。 哈 佛 研究 
团队 (Harvard Research Group, HRG) 使 用 AEC-2 分 类 法 对 高 可 用 性 
做 出 了 定义 ， 在 一 年 以 内 需要 满足 99.99% 的 正常 运行 。 


一 个 高 可 用 性 系统 可 以 在 较 短 的 停机 时 间 内 目 动 从 故障 中 恢复 。 相 比 之 下 ， 容 错 系统 
a 。 第 13 章 将 展示 如 何 构建 一 个 
| 容 He SI ° 


AWS 提 供 了 构建 基于 EC2 实 例 的 高 可 用 系统 的 工具 。 


。 利 用 CloudWatch 监 控 庶 拟 服务 器 的 运行 状况 。 如 果 需 要 ， 自 动 甬 
发 故障 恢复 。 

。 通 过 使 用 多 个 隔离 的 数据 中 心 (在 AWS 称 作 一 个 区 域内 的 可 用 区 
， 简 称 AZ) 搭建 高 可 用 的 基础 架构 。 

。 使 用 自动 扩展 (auto-scaling) 确保 拥有 一 定数 量 的 虚拟 服务 器 用 
以 自动 替换 失效 的 实例 。 


11.1 使 用 CloudWatch 恢 复 失 效 的 服务 器 


AWS 的 EC2 服 务 会 目 动 地 检查 每 个 虚拟 服务 右 的 状态 。 这 种 检查 
每 一 分 钟 都 将 进行 ， 活 跃 状态 是 CloudWatch 的 监测 指标 。AWS 
CloudWatch 是 一 个 提供 监测 指标 、 日 志和 告警 的 服务 。 在 第 9 革 中 我 们 
已 经 了 解 使 用 CloudWatch 以 获得 关系 数据 库 实例 当前 的 人 负荷。 图 11-1 
展示 了 如 何在 EC2 实 例 的 详细 信息 页 面 手 动 设置 CloudWatch 告 警 ， 告 
警 的 信息 来 自 EC2 实 例 的 系统 检查 。 


EJ 


Create Alarm 


You can use CloudWatch alarms 地 be notifi atically whenever metric data reaches a level you define. 
下 an alarm, first ch om to notify and then d f n sh 


Status Check Failed (System) Count 
Stop this instance (i 0.75 
Terminate this instance (i 

Whenever: Status Check Failed (System) 


Is: Failing 


For at least: 2 consecutive period(s) of 1 Minute k 


Name of alarm: awsec2-i-6d433da3-High-Status-Check-Fail 


Cancel Create Alarm 


这 张 图 展示 了 系统 


定义 告警 的 条 件 失效 检查 的 指标 


图 11-1 ”基于 系统 检查 的 指标 建立 CloudWatch 告 警 ， 一 旦 EC2 的 实例 失效 就 会 触发 自动 恢复 
系统 状态 检查 通常 是 检测 网 络 连 接 、 供 电 或 者 物理 主机 上 的 软件 

或 硬件 是 否 存 在 问题 。AWS 需 要 通过 系统 检查 去 发 现 失效 并 启动 修 

复 。 一 个 常常 用 于 解决 此 类 故障 的 策略 是 将 出 现 故障 的 虚拟 服务 器 恢 

复 到 另 一 台 物 理 主 机 之 上 。 

图 11-2 展 示 了 停机 处 理 的 流程 对 虚拟 服务 器 的 影响 。 

(1) 物理 服务 器 的 失效 导致 运行 其 上 的 虚拟 服务 器 失效 。 

(2) EC2 服 务 检 测 到 运行 中 断 并 报告 给 CloudWwatch 的 度量 。 

(3) CloudWatch 告 警 触发 了 对 于 虚拟 服务 器 的 恢复 。 

(4) 在 另外 一 台 物 理 服 务 器 上 启动 这 个 虚拟 服务 器 。 


(5) EBS 卷 和 弹性 IP 将 被 连接 到 新 的 虚拟 服务 器 并 保持 原样 。 


5. 这 台新 的 虚拟 服务 器 被 赋予 与 之 前 的 旧 虚拟 服务 器 
相同 的 ID 和 公共 /私有 下地 址 ， 链 接 到 同一 个 EBS 卷 。 


运行 虚拟 服务 器 
的 物理 服务 器 


1. 硬件 或 者 软件 的 失效 
影响 了 这 人 台 虚 拟 服务 器 。 


“图 


— o 


2. CloudWatch 的 例 行 运 行 状况 
检查 发 现 虚 拟 服务 器 的 失效 。 


运行 虚拟 服务 器 
的 物理 服务 器 


EBS% 


弹性 卫 


4. 在 一 组 不 同 物理 服务 器 上 
启动 新 的 虚拟 服务 器 。 


虚拟 服务 器 


3. CloudWatch 开 始 对 
虚拟 服务 器 进行 恢复 。 


CloudWatch 


图 11-2 ”在 硬件 失效 的 情况 下 ，CloudWatch 触 发 对 虚拟 服务 器 的 恢复 


完成 恢复 以 后 ， 新 的 说 运行 的 虚拟 服务 如 拥有 相同 的 ID 和 私有 IP 
地 址 。 在 EBS 郑 上 的 数据 ， 这 是 一 种 网 络 存储 ， 也 同样 被 恢复 。 因 为 
拥有 的 古 同 一 个 EBS 卷 ， 数 据 不 会 个 丢失 。 虚 拟 服务 器 目 喘 的 本 地 磁 
(实例 存储 ) 无 法 通过 CloudWatch 告 警 触发 的 处 理 流程 而 恢复 。 如 
果 原 有 的 虚拟 服务 句 设 置 有 弹性 IP， 新 的 服务 器 也 会 拥有 同样 的 公有 


IP 地 址 。 


如 果 你 打算 使 用 这 个 恢复 的 功能 ， 


虚拟 服务 器 必须 满足 以 下 的 条 件 。 


© 它 必 须 运 行 在 一 个 虚拟 专 网 (VPC) 之 内 。 


。 实 例 家 族 必须 是 c3 (计算 优化 ) 


或 者 t2 ( 突 发 性 能 优化 ) 
。 EC2 实 例 只 能 够 使 用 EBS 卷 ， 


、c4 (计算 优化 ) 、m3 (通用 ) 、r3 (内 存 优 化 ) 


o 早期 的 实例 家 族 不 被 支持 (如 t1) e 
因为 这 样 可 以 保证 在 实例 回复 以 后 数据 不 会 丢失 。 


11.1.1 建立 一 个 CloudWatch 告 警 


一 个 CloudWwatch 告 警 由 以 下 部 分 组 成 。 


一 组 监控 数据 的 指标 〈 运 行 状 况 检 查 、CPU 利 用 率 等 ) 

一 个 规则 定义 在 一 段 时 间 基 于 统计 函数 的 阔 值 。 

当 告 警 状态 改 时 触发 的 动作 (例如 ， 如 果 告 警 状态 改变 触发 一 个 
EC2 实 例 恢复 ) 


下 列 的 状态 可 以 被 用 来 告警 。 


OK 一 一 一 切 状态 都 很 好 ， 还 没有 达到 阔 值 。 
INSUFFICIENT_DATA 一 一 没有 足够 的 数据 来 评估 告警 。 
ALARM 一 一 有 东西 发 生 了 故障 ， 告 警 的 门槛 已 经 被 越过 。 


当 你 需要 监视 虚拟 服务 器 的 运行 状况 ， 并 需要 当 竹 主 的 系统 出 现 
故障 进行 恢复 的 时 候 ， 可 以 使 用 像 代 码 清单 11-1 所 示 的 一 个 
CloudWatch 告 警 进行 设置 。 这 个 代码 清单 是 从 CloudFormation 模 板 中 
摘录 出 来 的 。 


代码 清单 11-1 创 建 了 一 个 CloudWatch 告 警 ， 设 置 的 基础 来 自 一 个 
名 为 StatusCheckFailed_System (通过 MetricName 属性 链 
接 ) 的 度量 标准 。 该 指标 包括 了 由 EC2 服 务 每 分 钟 所 进行 的 虚拟 服务 
句 系 统 状 态 检 查 的 结果。 如 果 检 查 失败 ， 一 个 具有 数值 1 的 测量 点 被 加 
AZllStatusCheckFailed_System 指标 中 。 因 为 EC2 服 务 会 发 布 该 
指标 ， 因 此 Namespace 被 称 为 AWS/EC2 以 及 Dimension 的 维度 使 
用 了 虚拟 服务 器 的 ID。 


CloudWatch 告 警 指标 检查 的 Period 属性 设 定 为 每 60 s 一 次 。 如 在 
EvaluationPeriods 中 定义 的 那样 ， 告 警 服务 将 会 检查 最 后 的 5 个 
周期 的 状态 ， 在 这 种 情况 下 这 意味 着 最 后 的 5 min。 检 查 将 在 这 期 间 运 
行 Statistic 中 指定 的 统计 函数 。 在 这 种 情况 下 对 于 统计 函数 的 结 
果 ， 最 小 值 函 数 将 会 用 Comparisonoperator 将 其 与 Threshdd 进 
行 比较 。 如 果 结 果 是 否定 的 ， 在 AlarmActions 中 定义 的 告警 动作 将 
ao ee 单 11-1 中 ， 虚 拟 服务 器 的 恢复 是 EC2 实 例 的 内 
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代码 清单 11-1 创建 一 个 CloudWatch 告 警 用 以 监视 一 个 EC2 实 例 的 运行 状况 实例 


[...] 


"RecoveryAlarm": { <--fi#—PSCloudwatch 告警 用 以 监控 虚拟 服务 器 的 运 
行 状况 


"Type": "AWS::CloudWatch: :Alarm", 
"Properties": { 
"AlarmDescription": "Recover server when underlying hardware 
fails.", 
"Namespace": "AWS/EC2", =- -运行 状况 检查 的 指标 名 称 ，EC2 实 例 包含 的 
系统 故障 检查 的 名 称 
"MetricName": "StatusCheckFailed_System", - -监控 器 指标 由 EC2 
服务 提供 ， 命 名 空间 用 的 是 AWS/EC2 
"Statistic": "Minimum", =- -统计 函数 被 用 于 检测 的 指标 ， 即 使 最 小 的 状 
态 检 查 失效 也 会 得 到 通知 


"Period": "60", =- -统计 函数 用 来 计算 应 用 的 时 间 ， 以 秒 为 单位 ， 并 且 必 须 
是 60 的 倍数 


"EvaluationPeriods": "5", -- - APRA SS Be (eats TERIA 
"ComparisonOperator": "GreaterThanThreshold", =- -将 统计 函数 的 
输出 结果 与 阔 值 进行 比较 的 操作 

"Threshold": "QO", -- - (BAA 


"AlarmActions": [{ ---# Seas < 取 的 动作 。 使 用 针对 EC2 实例 的 预 
定义 的 恢复 操作 


"Fn::Join": ["", ["arn:aws:automate:", {"Ref": "AWS::Region" 

ty 
":ec2:recover" ]] 

}], 

"Dimensions": [{"Name": "InstanceId", "Value": {"Ref": 


"Server"}}] -- -虚拟 服务 器 身 就 是 一 个 度量 的 维度 
} 


总 之 ， 虚 拟 服务 器 的 状态 由 AWS 每 分 钟 检查 一 次 。 告 警 服务 检查 


StatusCheckFailed-System 指标 。 如 果 有 连续 的 5 个 失效 的 报 
告 ， 告 警 将 被 触发 。 


基于 CloudWatch 对 虚拟 服务 器 监控 与 恢 


假定 你 的 团队 正在 你 的 开发 过 程 中 采用 敏捷 流程 。 为 了 加 速 这 个 
流程 ， 你 的 团队 决定 采用 自动 化 的 软件 测试 、 构 建 和 部 署 。 于 是 你 被 
要 求 设立 一 个 持续 集成 服务 器 (CI 服务 ) 。 你 为 此 选择 了 使 用 
Jenkins， 这 是 一 个 用 Java 编 写 的 运行 在 servlet 容 器 (如 Apache 
Tomcat) 上 的 开源 应 用 。 因 为 你 所 使 用 的 环境 具有 “基础 设施 即 是 代 
码 * 的 特性 ， 你 打算 在 你 的 基础 设施 之 上 做 出 调整 以 及 部 署 Jenkins。 


Jenkins 服 务 需 是 一 个 典型 的 设置 高 可 用 性 的 使 用 场景 。 这 是 你 的 
基础 设施 当中 非常 重要 的 一 个 部 分 。 一 旦 这 个 服务 出 现 停机 故障 ， 你 
的 同事 将 无 法 测试 和 部 署 新 的 软件 。 因 为 系统 故障 而 导致 的 系统 恢复 
只 会 产生 很 短 的 停机 时 间 ， 而 且 故 障 恢复 不 会 破坏 你 的 业务 的 情况 
下 ， 其 实 你 并 不 需要 一 个 容错 的 系统 。 

在 这 个 例子 里 面 ， 你 将 按照 下 面 的 步 怠 操作 。 

(1) 在 云 计算 的 环境 里 面 建立 一 个 虚拟 网 络 (VPC) 。 


(2) 在 VPC 中 启动 一 个 虚拟 服务 器 ， 并 通过 初始 化 启动 程序 
(bootstrap) 自动 安装 Jenkins 。 


(3) 创建 一 个 Cloudwatch 告 警 服务 ， 监 控 虚 拟 服务 器 的 运行 状 


Ut o 
我 们 将 帮助 你 通过 CloudFormation 模 板 的 帮助 完成 这 些 步 又 。 你 
可 以 通过 GitHub 以 及 S3 找 到 用 于 这 个 例子 的 CloudFormation 模 板 。 


我 们 在 第 11 章 中 谈 到 的 recovery.json 可 以 在 S3 找 人 到， 文件 位 于 


https://s3.amazonaws.com/ awsinaction/chapter11/recovery.json ° 
关于 学 习 和 了 解 更 多 关于 Jenkins 的 内 容 ， 可 以 参考 其 官方 文档 。 
_ 下面 的 命令 启动 一 个 含有 EC2 实 例 与 CloudWatch 告 营 触 发 服务 章 
失效 恢复 的 CloudFormation 模 板 。 使 用 由 8 一 40 个 字符 和 数字 组 成 的 密 


码 替 换 $Password。 一 个 Jenkins 服 务 器 将 会 自动 安装 在 一 个 虚拟 服 
Sas: 


$ aws cloudformation create-stack --stack-name jenkins-recovery \ 
--template-url https://s3.amazonaws.com/\ 


awSinaction/chapter1i1/recovery.json \ 
--parameters 
ParameterKey=JenkinsAdminPassword, ParameterValue=$Password 


CloudFormation AREE T MAE MAME AACE o (eK 


最 重要 的 部 分 是 下 面 的 这 些 。 
。 虚 拟 服务 器 的 用 户 数据 包含 一 个 bash 的 脚本 用 以 在 启动 期 间 安 装 


Jenkins ° 

。 公 有 了 PP 地 址 被 分 配给 产 的 虚拟 服务 右 ， 你 可 以 在 服务 器 被 恢复 以 
后 使 与 之 前 相同 的 IP 地 址 去 访问 它 。 

。 CloudWatch 告 警 服务 基于 EC2 服 务 发 布 的 系统 状态 的 指标 。 


代码 清单 11-2 展 示 了 CloudFormation 模 板 中 重要 的 部 分 。 


代码 清单 11-2 ”在 EC2 实 例 上 启动 运行 具有 告警 恢复 能 力 的 Jenkins CI 服务 器 


Essa] 
"ElasticIP": { ~- -使 用 弹性 IP 提供 的 公有 IP 地 址 将 会 在 服务 器 恢复 以 后 保持 
一 至 
"Type": "AWS::EC2::EIP", 
"DependsOn": "GatewayToInternet", 
"Properties": { 
"InstanceId": {"Ref": "Server"}, 
"Domain": "vpc" 
; } 
"Server": { -- -启动 一 个 虚拟 服务 器 来 运行 Jenkins 服务 器 


"Type": "AWS::EC2::Instance", 
"Properties": { 


"InstanceType": "t2.micro", ~- -恢复 的 是 t2 类 型 的 实例 

"KeyName": {"Ref": "KeyName"}, 

"UserData": {"Fn::Base64": {"Fn::Join": ["", [ --- H P RGE P 
包含 了 一 个 she11 脚本 ， 这 个 脚本 将 在 启动 阶段 被 执行 ， 用 以 在 虚拟 服务 器 上 安装 


Jenkins 服务 器 
"#!/bin/bash -ex\n", 
"wget http://pkg.jenkins-ci.org/redhat/ 
= jenkins-1.616-1.1.noarch.rpm\n", 
"rom --install jenkins-1.616-1.1.noarch.rpm\n", 
[...] 
"service jenkins start\n" 
1132, 
bs 


} 


ty 
"RecoveryAlarm": { -- -创建 一 个 CloudwWatch 告警 来 监控 虚拟 服务 器 的 运行 
状况 
"Type": "AWS::CloudWatch: :Alarm", 
"Properties": { 
"AlarmDescription": "Recover server when underlying hardware 
fails." 
"Namespace": "AWS/EC2", ---HEC2 服务 提供 的 监控 指标 ， 使 用 的 命名 
空间 是 AWS/EC2 
"MetricName": "StatusCheckFailed_System", ~- -EC2 实例 运行 状况 
检查 指标 名 包含 系统 检查 失败 的 事件 
"Statistic": "Minimum", -- -统计 函数 应 用 到 指标 。 如 果 单 个 状态 监测 失 
败 ， 最 小 值 将 会 被 通知 
"Period": "60", <- -统计 函数 应 用 的 时 间 ， 以 秒 为 单位 ， 必 须 是 69 的 倍数 
"EvaluationPeriods": "5", =- -KAGE BM EET Bea Fa SB 
"ComparisonOperator": "GreaterThanThreshold", -- - fh 2 SB 
值 
"Threshold": "o", =- -用 于 将 统计 功能 的 输出 与 阔 值 进行 比较 的 运算 符 
"AlarmActions": [{ =- -告警 时 执行 的 动作 。 对 EC2 实例 使 用 预先 定义 好 


的 恢复 动作 


"Fn::Join": ["", ["arn:aws:automate:", {"Ref": "AWS::Region" 
ty 
":ec2:recover" ]] 
}], 
"Dimensions": [{"Name": "InstanceId", "Value": {"Ref": 


"Server"}}] —- -虚拟 服务 器 指标 的 一 个 维度 
} 

} 

i 


CloudFormation 模 板 的 创建 和 Jenkins 在 虚拟 服务 器 上 的 安装 需要 
pales, 分 钟 时 间 o o 运行 以 下 命令 可 以 得 到 堆栈 的 结果 办 出。 如 果 结 果 为 


Zz 


空 ， 过 几 分钟 之 后 可 以 重 试 一 下 : 


$ aws cloudformation describe-stacks --stack-name jenkins-recovery 
\ 


--query Stacks[0].Outputs 


如 采 该 查询 结 采 正如 这 里 所 显示 的 ， 包 合 一 个 链接 、 一 个 用 尸 和 
一 个 密码 ， 那 么 这 个 堆栈 创建 号 好 了 ，Jenkins 服 务 右 准备 好 可 用 了 。 


在 浏览 器 中 打开 这 个 链 授 ， 用 之 前 选择 的 admin 用 户 名 和 密码 登录 
Jenkins 服 务 器 : 


"Description": "URL to access web interface of Jenkins 
server.", 
"OutputKey": "JenkinsURL", 
"OutputValue": "http://54.152.240.91:8080" -- -在 浏览 器 中 的 
这 个 URL， 访 问 Jenkins 服务 器 的 web 界面 
ty 
{ 


"Description": "Administrator user for Jenkins.", 

"OutputKey": "User", 

"OutputValue": "admin" 一- -使 用 这 个 用 户 名 登录 Jenkins 服务 器 
ty 


"Description": "Password for Jenkins administrator user.", 
"OutputKey": "Password", 
"OQutputValue"; "****#**#1 -- -使 用 这 个 密码 登录 Jenkins 服务 器 


} 


] 


现在 我 们 已 可 以 在 Jenkins 服 务 左 上 创建 第 一 个 作业 。 同 时 ， 我 们 
需要 用 之 前 输出 的 用 户 名 和 密码 进行 登录 。 图 11-3 展 示 的 是 Jenkins 服 
务 器 的 登录 表单 。 


® Jenkins 

Jenkins 

& People eer: 

> Build History Password: 

Æ Credentials | mm | 
Build Queue = 


No builds in the queue. 


Build Executor Status = 


1 Idle 
2 Idle 


图 11-3 ”Jenkins 服 务 器 的 Web 界 面 
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于 虚拟 服务 器 用 了 弹性 IP 地 址 ， 所 以 链接 不 会 改变 。 所 有 数据 将 恢 
复 ， 因 为 新 的 虚拟 服务 器 和 之 前 的 虚拟 服务 器 使 用 一 样 的 EBS 卷 。 


壮 慑 的 是 ， 我 们 不 能 测试 恢复 的 过 程 。CloudWatch 告 警 可 以 监控 
答 主 系统 的 运行 状况 ， 但 这 只 能 由 AWS 控 制 。 


现在 完成 了 这 个 例子 ， 可 以 清理 所 有 资源 以 避免 不 必要 的 花费 。 执 行 以 下 命令 删除 所 
有 Jenkins 配 置 相关 的 资源 : 


$ aws cloudformation delete-stack --stack-name jenkins-recovery 
$ aws cloudformation describe-stacks --stack-name jenkins-recovery--- 重 试 这 条 命令 ， 


到 状态 改变 为 DELETE_COMPLETE 或 者 出 现 一 个 堆栈 不 存在 的 错误 


11.2 ”从 数据 中 心 故障 中 恢复 


如 前 一 节 描 述 的 ， 底 层 硬 件 和 软件 失败 之 后 ， 由 系统 状态 检查 和 
CloudWatch 恢 复 虚 拟 服务 器 古 可 能 的 。 但 如 果 由 于 电力 、 火 或 者 其 他 
因素 导致 整个 数据 中 心 故 障 那 会 发 生 什么 ?正如 11.1 节 描述 的 恢复 虚 
拟 服务 器 将 会 失效 ， 因 为 那 是 在 同一 个 数据 中 心 局 动 EC2 实 例 。 


AWS 的 设计 理念 是 “假定 失败 ”， 即 便 是 很 小 的 概率 发 生 整 个 数据 
中 心 故 障 。AWS 的 区 域 是 由 多 个 数据 中 心 组 成 的 集群 ， 我 们 把 这 个 集 
群 称 之 为 可 用 区 (Availability Zone，AZ) 。 结 合用 量 去 定义 虚拟 服务 
钥 的 数量 和 类 型 来 支撑 AWS， 必 须 时 刻 保 持 运 行 状 态 ， 在 目 动 扩展 的 
帮助 下 ， 你 可 以 在 数据 中 心 在 以 很 短 的 宕 机 时 间 恢 复 并 局 动 虚拟 服务 
佛 。 男 外 ， 在 多 个 可 用 区 内 搭建 一 个 高 可 用 的 架构 有 两 个 注意 点 。 


。 人 加 存储 的 数据 故障 转移 到 男 一 个 数据 中 心 之 后 默认 
NA o 


。 在 男 一 个 数据 中 心 不 能 用 同一 个 私有 IP 地 址 启动 新 的 虚拟 服务 
右 。 另 外 ， 恢 复 后 不 能 目 动 保持 同一 个 公有 了 地 址 ， 正 如 前 一 
中 用 CloudWatch 告 警 触 发 恢复 。 


在 本 节 中 ， 我 们 将 改善 前 一 节 中 的 Jenkins 设 置 ， 增 加 整个 数据 中 
心 故 障 恢复 和 解决 陷阱 的 能 力 。 


11.2.1 可 用 区 : 每 个 区 域 有 多 个 数据 中 心 


正如 你 已 经 了 解 的 ，AWS 在 全 球 范 围 内 运营 着 多 个 地 理 位 置 ， 称 
为 区 域 (region) 。 如 果 到 目前 为 止 你 一 直 在 跟 进 前 面 的 示例 ， 你 已 
经 使 用 了 美国 东部 (弗吉尼亚 北部 区域 ， 也 称 为 us-east-1。 截至 
oa 一 共有 18 个 公开 可 用 的 区 域 ， 分 别 位 于 北美 洲 、 南 美洲 、 
欢 洲 和 亚洲 。 


每 个 区 域 由 多 个 可 用 区 组 成 。 一 个 可 用 区 可 以 理解 为 是 一 组 数据 
中 心 的 集合 ， 区 域 是 由 多 个 独立 的 数据 中 心 组 成 ， 每 个 数据 中 心 之 间 
有 足够 的 距离 。 可 用 区 与 可 用 区 之 间 通 过 低 延 时 的 链 路 相连 ， 所 以 不 
同 可 用 区 之 间 的 请 求 并 不 会 像 走 互联 网 一 样 贵 。 可 用 区 的 数量 取决 于 
区 域 。 例 如 ， 截 至 2018 年 1 月 美国 东部 (弗吉尼亚 北部 ) 区 域 在 目前 有 
6 个 可 用 区 ， 欧 洲 (法 兰 克 福 ) 有 3 个 可 用 区 。 图 11-4 阐 述 了 一 个 区 域 
内 可 用 区 的 概念 。 


/ 可 用 区 的 数量 取决 于 区 域 


区 域 
us-east-1 
l 


的 独立 的 地 点 sl us-east- 


可 用 区 通过 低 延 时 “| | 一 一 
的 链 路 相连 


可 用 区 是 一 个 区 域内 THEA 可 用 区 B 
a us-east-1b 


可 用 区 C 可 用 区 E 
us-eas t-lc us-east-le 


图 11-4 一 个 区 域 由 多 个 通过 低 延 时 链 路 相连 的 可 用 区 组 成 


有 一 些 AWS 的 服务 独 是 高 可 用 的 ， 甚 至 默认 束 具 有 容错 机 制 。 对 
于 有 些 服 务 ， 客 户 必须 目 己 通过 可 靠 的 工具 来 搭建 高 可 用 的 架构 。 如 
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也 十 如 此 。 


。 eee Route 53 (DNS) 和 CloudFront 
CDN) ° 

。 有些 服务 在 一 个 区 域 中 用 了 多 个 可 用 区 ， 因 此 可 以 从 数据 中 心 故 
障 中 恢复 : S3 (对 象 存储 ) 和 DynamoDB (NoSQL 数 据 库 ) ° 

。 关系 型 数据 库 (RDS) 提供 了 主 - 备 设 置 ， 称 为 多 可 用 区 部 署 。 如 
果 有 必要 ， 可 以 将 故障 转移 到 另 一 个 可 用 区 。 

© 虚拟 服务 器 运行 在 单一 可 用 区 中 。 但 是 AWS 提 供 了 工具 基于 EC2 
搭建 架构 ， 可 以 从 另 一 个 可 用 区 中 故障 转移 。 


全 球 
ia 服务 运行 在 全 球 范围 内 横 跨 
多 个 区 域 和 边缘 地 点 
路 由 53 CloudFront 
NS 
区 域 
人 
横 跨 多 个 可 
S3 对 象 存储 DynamoDB 
NoSQL 数 据 库 
可 用 区 1 | | 可 用 区 2 
运行 在 单个 可 用 区 中 的 RDS 主 - 备 
设置 ， 失 效 转移 到 另 一 个 可 用 区 
EC2 RD (多 可 用 区 ) 
虚拟 服务 器 SOLA 


运行 在 单个 可 用 区 中 的 虚拟 服务 器 


图 11-5 ” AWS 的 服务 可 以 运行 在 单一 可 用 区 中 、 跨 可 用 区 ， 其 至 在 全 球 范围 内 跨 区 域 


可 用 BSP FH D ak (如 us-east-1) 的 标识 符 和 一 个 字母 (a、 
b、c、d 或 者 e) 组 成 。us-east-1a 是 区 域 us-east-1 内 可 用 区 的 标识 符 。 
为 了 证 资源 横 跨 分 布 在 不 同 的 可 用 区 ， 一 个 可 用 区 的 标识 符 针 对 每 个 
AWS 账 户 是 随机 生成 的 ， 这 意味 着 在 你 的 AWS 账 号 中 us-east-1a 指 癌 了 
另 一 个 物理 数据 中 心 ， 在 我 的 AWS 账 号 中 也 一 样 。 


客户 可 以 用 以 下 这 条 命令 查看 在 目 己 的 账号 中 的 所 有 区 域 : 


$ aws ec2 describe-regions 
{ 
"Regions": [ 
{ 
"Endpoint": "ec2.eu-central-1.amazonaws.com", 
"RegionName": "eu-central-1" 
ty 
{ 


"Endpoint": "ec2.sa-east-1.amazonaws.com", 
"RegionName": "sa-east-1" 


"Endpoint": "ec2.ap-northeast-1.amazonaws.com", 
"RegionName": "ap-northeast-1" 


"Endpoint": "ec2.eu-west-1.amazonaws. 
"RegionName": "eu-west-1" 


"Endpoint": "ec2.us-east-1.amazonaws. 
"RegionName": "us-east-1" 


"Endpoint": "ec2.us-west-1.amazonaws. 
"RegionName": "us-west-1" 


"Endpoint": "ec2.us-west-2.amazonaws. 
"RegionName": "us-west-2" 


"Endpoint": "ec2.ap-southeast-2.amazonaws.com", 
"RegionName": "ap-southeast-2" 


"Endpoint": "ec2.ap-southeast-1.amazonaws.com", 
"RegionName": "ap-southeast-1" 


中 用 RegionName 替换 $Region : 


$ aws ec2 describe-availability-zones --region $Region 
{ 
"AvailabilityZones": [ 
{ 
"State": "available", 
"RegionName": "us-east-1", 
"Messages": [], 
"ZoneName": "us-east-1a" 


ty 


"State": "available", 
"RegionName": "us-east-1", 
"Messages": [], 
"ZoneName": "us-east-1b" 


ty 
{ 


"State": "available", 
"RegionName": "us-east-1", 
"Messages": [], 
"ZoneName": "us-east-1ic" 


ty 


"State": "available", 
"RegionName": "us-east-1", 
"Messages": [], 
"ZoneName": "us-east-1e" 


在 基于 EC2 实 例 搭 建 一 个 在 多 个 可 用 区 之 间 自 动 故障 转移 的 高 可 
用 架构 之 前 ， 还 有 一 些 知 识 是 需要 了 解 的 。 如 果 借 助 虚拟 私有 网 络 
(VPC) 在 AWS 内 定义 一 个 私有 网 络 ， 需 要 了 解 : 


。 VPC 总 是 绑 定 到 一 个 区 域 。 
。 VPC 内 的 一 个 子 网 链接 到 一 个 可 用 区 。 
。 虚拟 服务 器 运行 在 单个 子 网 中 。 


图 11-6 展 示 了 这 些 依赖 关系 。 


区 域 


VPC (虚拟 私有 网 络 ) 
10.0.0.0/16 


可 用 区 1 可 用 区 2 


子 网 A 子 网 C 
10.0.0.0/24 10.0.1.0/24 
公共 子 网 私有 子 网 


一 个 子 关联 到 
一 个 可 用 区 | 一 


子 网 B 子 网 D 
10.0.2.0/24 10.0.3.0/24 
私有 网 络 私有 网 络 


图 11-6 ”VPC 仅 属于 一 个 特定 区 域 ， 子 网 仅 和 一 个 可 用 区 关联 


接 下 来 ， 我 们 将 会 学 习 如 何 局 动 虚拟 服务 右 ， 并 且 如 采 出 现 故 障 
这 个 虚拟 服务 区 可 以 在 另 一 个 可 用 区 内 目 动 重 局 。 


11.2.2 ”使 用 自动 扩展 确保 虚拟 服务 器 一 直 运 行 


目 动 扩展 是 EC2 服 务 的 一 部 分 ， 可 以 帮助 你 确保 按 指 定数 量 的 虚 
拟 服务 器 一 直 运 行 。 你 可 以 使 用 目 动 扩展 启动 一 个 虚拟 服务 器 ， 确 保 
当 原 始 虚 拟 服 务 器 故障 时 可 以 启动 新 的 虚拟 服务 右 。 通 过 目 动 扩展 ， 
你 可 以 在 多 个 子 网 中 局 动 EC2 实 例 ， 在 整个 可 用 区 出 现 故 障 的 情况 
下 ， 新 的 虚拟 服务 器 可 以 在 男 一 个 可 用 区 的 子 网 中 启动 。 


配置 目 动 扩展 ， 需 要 创建 配置 以 下 两 个 部 分 。 

。 局 动 配置 包含 了 虚拟 服务 器 局 动 的 所 有 信息 : 实例 类 型 (虚拟 服 
务 器 的 大 小 ) 和 局 动 所 需 的 映像 (AMI) 。 

。 目 动 扩展 组 会 告诉 EC2 按 指定 的 局 动 项 配置 局 动 多 少 个 虚拟 服务 
器 ， 如 何 监控 实例 ， 应 该 在 哪个 子 网 中 启动 。 


图 11-7 展 示 了 这 个 过 程 。 


自动 扩展 组 启动 项 配置 


* 最 小 /最 大 /需要 虚拟 “启动 新 服务 器 的 映像 
服务 器 个 数 (AMI) 
* 虚拟 服务 器 监控 检查 + 虚拟 服务 器 的 大 小 
* 虚拟 服务 器 启动 的 子 网 
1. 监控 虚拟 服务 器 的 
运行 状况 


2. 如 果 虚 拟 服务 器 运行 状况 不 够 好 ， 则 
会 根据 启动 项 配置 启动 一 个 新 实例 


EC2 虚 拟 服务 器 


图 11-7 ”自动 扩展 确保 指定 数量 的 虚拟 服务 器 处 于 运行 


代码 清单 11-3 展 示 了 如 何 使 用 自动 扩展 来 确保 单个 EC2 实 例 一 直 
运行 。 表 11-1 展 示 了 具体 的 参数 。 


表 11-1 启动 项 配置 和 自动 扩展 组 需要 的 参数 


被 启动 虚拟 服务 器 | 账号 中 任何 可 用 区 
的 AMI 的 ID AMI 的 ID 


LaunchConfiguration | ImageId 


所 有 可 用 的 实例 ， 如 
LaunchConfiguration | InstanceType 虚拟 服务 器 的 大 小 | t2.micro ` 
m3.medium ` c3.large 


可 正 整 数 。 如 果 想 
AutoScalingGrou DesiredCapacit 某 一 时 刻 所 需 虚 拟 于 局 区 LERS 

garoup ”| 服务 器 的 数量 虚拟 服务 器 ， 那 么 
41 


使 用 自动 扩展 介 许 | 任何 正 整 数 。 如 果 想 


AutoScalingGroup MinSize 同时 运行 虚拟 服务 en ae 


a) 36¢/] ML 


使 用 1 


可 正 整数 。 如 果 想 
1H À z hi 动 一 
AutoScalingGroup MaxSize 5] a 人 全 
AW JY , H 
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AutoScalingGroup vPCZoneldentifier ee ed 动 所 D h 的 任何 


区 分 失效 的 虚拟 服 |EC2 使 用 虚拟 服务 器 

务 器 的 监控 检查 。 | 的 状态 检查 ， 或 者 使 

AutoScalingGroup HealthcheckType “| 如 果 检 查 检查 失 ELB 检 查 负载 均衡 

展 用 新 ( 见 第 13 
= 


uy 


代码 清单 11-3 ”配置 自动 扩展 组 和 启动 配置 


"LaunchConfiguration": { 
"Type": "AWS: :AutoScaling: :LaunchConfiguration", 


"Properties": { - -用 于 自动 扩展 的 启动 配置 
"ImageId": "ami-1ecae776" [ =- -启动 虚拟 服务 器 的 映像 (AMI) 
"InstanceType": "t2.micro", -- -虚拟 服务 器 的 大 小 
}, 
"AutoScalingGroup": { 
"Type": "AWS: :AutoScaling: :AutoScalingGroup", =- -自动 扩展 组 负责 
启动 虚拟 服务 器 
"Properties": { 
"LaunchConfigurationName": {"Ref": "LaunchConfiguration"}, 
-- -关联 到 启动 配置 
"DesiredCapacity": 1, ---EC2 实例 的 需要 数量 
"MinSize": 1, —--EC2 实例 的 最 小 数量 
"MaxSize": 1, ---EC2 实例 的 最 大 数量 


上 


F 


"VPCZoneIdentifier": [ ---EFWa (在 可 用 区 A 中 的 ) 和 子 网 B (在 可 

JKA 中 的 ) 中 启动 虚拟 服务 器 (在 可 用 区 B F) 
{"Ref": "SubnetA"}, 
{"Ref": "SubnetB"} 


1, 
"HealthCheckType": "EC2" -- -使 用 EC2 内 部 的 运行 状况 检查 


ma nw 


目 动 扩展 组 可 以 根据 系统 的 用 量 目 动 扩 展 虚 拟 服务 右 的 数量 。 我 
们 将 在 第 14 章 中 学 习 如 何 根据 当前 的 负载 扩展 虚拟 服务 硕 的 数量 。 在 
本 章 中 ， 我 们 只 需 确 保 一 台 虚 拟 服 务 郁 一 直 运 行 。 因 为 需要 一 台 虚 拟 
服务 器 ， 为 了 目 动 扩展 设置 以 下 参数 为 1 : 


e DesiredCapacity; 
e MinSize; 
e MaxSize ° 


接 下 来 的 一 节 将 复 用 本 章 开始 的 Jenkins 示 例 ， 在 实践 中 展示 如 何 
用 自动 扩展 实现 高 可 用 性 。 


11.23 ”在 男 一 个 可 用 区 中 通过 自动 扩展 恢复 失 
效 的 虚拟 服务 器 


本 章 一 开始 束 介 绍 了 ， 万 一 失效 ， 可 以 使 用 CloudWatch 告 警 触发 
运行 着 Jenkins CI 服务 万 的 虚拟 服务 需 的 恢复 。 在 需要 的 情况 下 ， 这 一 
机 制 会 局 动 一 个 原始 虚拟 服务 器 的 副本 。 这 只 是 发 生 在 同一 个 可 用 区 
中 ， 因 为 虚拟 服务 如 的 私有 JP 地址 和 EBS 卷 是 和 一 个 子 网 和 一 个 可 用 
区 绑 定 的 。 但 是 假设 AWS 的 区 域 出 现 数据 中 心 的 故障 ， 你 的 团队 不 会 
满意 目 己 无 法 使 用 Jenkins 服 务 万 去 测试 、 搭 建 和 部 获 狐 软件 这 一 事 
实 ， 你 需要 寻找 一 种 能 够 让 你 在 男 一 个 可 用 区 中 恢复 的 工具 。 


在 自动 扩展 的 辅助 下 ， 运 行 Jenkins 的 虚拟 服务 器 故障 转移 到 另 一 
个 可 用 区 中 将 变 为 可 能 。 这 个 例子 的 CloudFormation 模 板 可 以 在 下 载 
的 源 代码 中 找到 ， 其 中 multiaz.json 就 是 我 们 在 本 章 中 讨论 过 的 文件 。 
同一 文件 在 S3 上 位 于 https://s3.amazonaws.com/awsinaction/chapter11/ 
multiaz.json ° 


执行 以 下 命令 创建 虚拟 服务 器 ， 通 过 目 动 扩 展 ， 如 有 果 和 需要 的 话 ， 
可 将 故障 转移 到 男 一 个 可 用 区 中 。 用 8~40 个 子 母 和 数 子 组 成 的 密码 巷 


换 $Password 。 通 过 以 下 命令 用 代码 清单 11-3 所 示 的 CloudFormation 
模板 来 设置 环境 : 


$ aws cloudformation create-stack --stack-name jenkins-multiaz \ 
--template-url https://s3.amazonaws.com/\ 
awSinaction/chapter11/multiaz.json \ 


--parameters 
ParameterKey=JenkinsAdminPassword, ParameterValue=$Password 


读者 可 在 CloudFormation 模 板 中 按 代码 清单 11-4 找 到 启动 配置 和 目 
动 扩 展 组 。 在 前 一 节 中 ， 当 通过 CloudWatch 恢 复 告警 启动 单 台 虚拟 服 
务 絮 时 ， 使 用 了 启动 配置 的 最 重要 的 一 些 参数 。 


e ImageId 虚拟 服务 器 的 映像 (AMI) 的 ID 。 

e InstanceType 虚拟 服务 器 的 大 小 。 

。KeyName 一 一 SSH 密 钥 对 的 名 称 。 

。SecurityGroupIds 天 联 的 安全 组 。 

。UserData 一 一 引导 安装 Jenkins CI 服务 器 期 间 执行 的 脚本 。 


单个 EC2 实 例 的 定义 和 局 动 配置 之 间 有 一 个 重要 的 区 别 : 虚拟 服 
务 器 的 子 网 没有 在 局 动 配置 中 定义 ， 而 古 在 目 动 扩 展 组 中 定义 的 ， 如 
代码 清单 11-4 所 示 。 


代码 清单 11-4 在 两 个 可 用 区 中 自动 扩展 的 Jenkins CI 服务 器 


"LaunchConfiguration": { 
"Type": "AWS: :AutoScaling: :LaunchConfiguration", --- 用 于 自动 扩 
展 的 启动 配置 


"Properties": { 


"InstanceMonitoring": false, <- -默认 情况 下 ，EC2 每 5 min 发 送 指 
标 到 Cloudwatch， 当 然 你 也 可 以 通过 额外 付费 ， 启 动 更 详细 的 实例 监控 ， 每 分 钟 获 得 指 
标 

"ImageId": {"Fn::FindInMap": [ -- -启动 虚拟 服务 器 的 映像 (AMI) 


"EC2RegionMap", 
{"Ref": "AWS: :Region"}, 
"AmazonLinuxAMIHVMEBSBacked64bit" 
]}, 
"KeyName": {"Ref": "KeyName"}, 一- -远程 SSH 登录 到 虚拟 服务 器 的 密 


"SecurityGroups": 
加 到 虚拟 服务 器 的 安全 组 


"AssociatePublicIpAddress": true, 


[{"Ref": 


址 

"InstanceType": "t2.micro", 

"UserData": { -- -用 户 数据 包含 一 个 脚本 ， 
Jenkins 服务 器 ， 在 虚拟 服务 器 引导 配置 时 执行 


"Fn: :Base64": { 
"Fn:: Join": [ 


[ 
"#!/bin/bash -ex\n", 


"SecurityGroupJenkins"}], 


-- -虚拟 服务 器 的 类 型 


-- -p 
-- -给 虚拟 服务 器 启动 公有 IP 地 


这 个 脚本 是 在 虚拟 服务 器 里 安装 


"wget http://pkg.jenkins-ci.org/redhat/ 
= jenkins-1.616-1.1.noarch.rpm\n", 
"rom --install jenkins-1.616-1.1.noarch.rpm\n", 


[...] 
"service jenkins start\n" 
] 
] 
} 
} 
} 
ty 
"AutoScalingGroup": { 
"Type": "AWS: :AutoScaling: :AutoScalingGroup", ~- -自动 扩展 组 负责 
局 动 虚拟 服务 器 
"Properties": { 
"LaunchConfigurationName": {"Ref": "LaunchConfiguration"}, 
-- -关联 到 启动 配置 
"Tags": [ =- -自动 扩展 组 的 标签 
{ 
"Key" ` "Name" 7 
"Value": "jenkins", 
"PropagateAtLaunch": true =- -将 相同 的 标签 附加 到 由 此 自动 扩展 组 
启动 的 虚拟 服务 器 
} 
], 
"DesiredCapacity": 1, ---EC2 实例 的 需要 个 数 
"MinSize": 1, ---EC2 实例 的 最 小 个 数 
"MaxSize": 1, ---EC2 实例 的 最 大 个 数 
"VPCZoneIdentifier": [ 一- -在 子 网 A (创建 在 可 用 区 A) 和 子 网 B (创建 在 
可 用 区 B) 中 启动 虚拟 服务 器 
{"Ref": "SubnetA"}, 
{"Ref": "SubnetB"} 
], 
"HealthCheckType": "EC2" -- -使 用 EC2 服务 内 部 的 运行 状况 检查 


} 


CloudFormation 模 板 的 创建 需要 几 分 钟 。 执 行 以 下 命令 获得 虚拟 
服务 器 的 公有 IP 地 址 。 如 果 没 有 IP 地 址 出 现 ， 说 明 虚 拟 服 务 器 还 没 启 
动 完 成 ， 可 以 过 一 会 儿 再 试 。 


$ aws ec2 describe-instances --filters "Name=tag:Name, \ 
Values=jenkins-multiaz" "Name=instance-state-code, Values=16" \ 
--query "Reservations[0].Instances[0].\ 

[InstanceId, PublicIpAddress, PrivateIpAddress, SubnetId]" 


[ 


"i-e8c2063b", =- -虚拟 服务 器 的 实例 ID 
"52.4.11.10", -- -虚拟 服务 器 的 公有 IP 地 址 
"10.0.1.56", -- -虚拟 服务 器 的 私有 IP 地 址 
"subnet-36257a41" -- -虚拟 服务 器 的 子 网 ID 


在 浏览 器 中 打开 http://$PublicIP:8080， 用 之 前 的 describe 命令 
输出 的 公有 IP 地 址 苦 换 $PublicIP ，Jenkins 服 务 器 的 Web 界 面 就 出 现 
Y o 


执行 以 下 命令 终止 虚拟 服务 器 ， 测 试 自动 扩展 的 恢复 过 程 。 用 之 
前 discribe 命令 输出 的 实例 ID 替换 $InstanceId : 


$ aws ec2 terminate-instances --instance-ids $InstanceId 


几 分 钟 之 后 自动 扩展 组 检测 到 虚拟 服务 器 被 终止 了 ， 然 后 启动 一 
台新 的 虚拟 服务 器 。 重 新 运行 describe-instances 命令 ， 直 到 出 
现 一 台 运 行 的 虚拟 服务 器 信息 。 


$ aws ec2 describe-instances --filters "Name=tag:Name, \ 
Values=jenkins-multiaz" "Name=instance-state-code,Values=16" \ 
--query "Reservations[0].Instances[0].\ 

[InstanceId, PublicIpAddress, PrivateIpAddress, SubnetId]" 


"i -5e4f68f7", 


"54,88.118.96", 

"10.0.0.36", 

"sSubnet-aa29b281" 
] 


对 于 新 实例 ， 实 例 ID、 公 有 IP 地 址 、 私 有 IP 地 址 甚至 子 网 ID 都 变 
了 。 在 浏览 器 中 打开 http:/$PublicIP:8080， 用 之 前 的 describe 命令 
输出 的 公有 IP 地 址 替换 $Pub1icIP ，Jenkins 服 务 器 的 web 界面 就 出 现 
了 了 o 


通过 目 动 扩展 ， 你 已 经 搭建 了 一 个 由 EC2 组 成 的 高 可 用 的 架构 。 
当前 的 步 又 中 存在 下 面 两 个 问题 。 


e Jenkins 服 务 袁 的 数据 存储 在 磁盘 上 ， 当 出 现 故 障 时 ， 一 台新 的 虚 
拟 服 务 器 被 司 动 ， 狐 的 磁盘 会 被 创建 ， 数 据 将 丢失 。 

。 新 的 虚拟 服务 器 恢复 时 ，Jenkins 服 务 响 的 公有 了 PP 地址、 私有 IP 地 
址 发 生 了 改变 。Jenkins 服 务 希 在 同一 个 端点 下 变 为 不 可 用 。 


接 下 来 我 们 将 学 习 如 何 解决 这 些 问题 。 
11.2.4 陷阱， 网络 附 加 存储 恢复 


EBS 服 务 为 虚拟 服务 器 提供 了 网 络 附加 存储 (NAS) 。EC2 关 联 
到 一 个 子 网 ， 子 网 关联 到 一 个 可 用 区 。EBS 卷 存在 于 单个 可 用 区 中 。 
如 于 虚拟 服务 器 由 于 故障 在 另 一 个 可 用 区 中 局 动 ， 存 储 在 EFBS 卷 中 的 
数据 将 不 再 可 用 。 图 11-8 阐 述 了 这 个 问题 。 


在 另 一 个 可 用 区 中 启动 新 虚拟 服务 器 


可 用 区 A 
虚拟 服务 器 虚拟 服务 器 
EJ is 

EBS# EBS# 
EBS 卷 绑 定 到 可 用 区 A 新 的 空 EBS 


图 11-8 EBS 卷 只 有 在 单个 可 用 区 中 可 用 
这 个 问题 有 很 多 种 解决 方案 。 


。 将 虚拟 服务 器 的 状态 移 到 托管 的 服务 里 ， 默 认 使 用 多 个 可 用 区 : 
RDS (关系 型 数据 库 ) 、DynamoDB (NoSQL 数 据 库 ) 或 者 S3 
(对 象 存储 ) 。 

。 给 EBS 卷 创建 快照 ， 如 果 虚 拟 服务 器 需要 在 另 一 个 可 用 区 中 恢 
ee 
寺 可 用 。 

。 使 用 分 布 式 的 第 三 方 存储 解决 方案 (GlusterFS » DRBD ` 
MongoDB 等 ) ， 在 多 个 可 用 区 中 存储 数据 。 


Jenkins 服 务 器 直接 在 磁盘 上 存储 数据 。 为 了 在 外 面 存放 虚拟 服务 
器 的 状态 ， 不 能 使 用 RDS、DynamoDB 或 者 S3， 需 要 用 快照 级 别 的 存 
储 解 决 方案 代替 。 正 如 我 们 所 学 到 的 ，EBS 卷 只 有 单个 可 用 区 中 可 
用 ， 所 以 这 不 能 很 好 地 解决 这 个 问题 。 使 用 分 布 式 第 三 方 存储 解决 方 
案 可 行 ， 但 也 引入 了 很 多 超出 了 本 书 范 围 的 复杂 性 。 我 们 将 学 习 如 何 
使 用 EBS 快 照 在 另 一 个 可 用 区 中 恢复 一 台 虚 拟 服 务 器 ， 并 且 没 有 丢失 
存储 在 EBS 卷 里 面 的 完整 状态 数据 。 


如 代码 清单 11-5 所 示 ， 在 局 动 配置 的 辅助 下 可 以 为 通过 目 动 扩展 
局 动 的 虚拟 服务 器 指定 一 个 自己 的 映像 (AMI) ， 了 映像 就 类 似 于 EBS 


快照 ， 包 含 操 作 系统 虚拟 化 相关 的 其 他 信息 。 客 户 可 以 基于 这 个 AMI 
局 动 一 个 新 的 虚拟 服务 器 ， 但 不 能 用 EBS 快 照 创 建 一 个 根 卷 。 客 户 创 
建 任何 运行 的 虚拟 服务 器 的 映像 (AMI) 。 与 EBS 卷 本 身 相 比 ，EBS 
快照 和 映像 AMI 坪 存储 在 一 个 区 域内 的 多 个 可 用 区 的 ， 所 以 客户 可 以 
通过 它 在 男 一 个 可 用 区 恢复 。 


代码 清单 11-5 更 新 映像 ， 在 失败 时 启动 新 的 虚拟 服务 器 


"LaunchConfiguration": { 
"Type": "AWS: :AutoScaling: :LaunchConfiguration", 
"Properties": { 
"InstanceMonitoring": false, 
"ImageId": {"Ref": "AMISnapshot"}, -- -自动 扩展 根据 指定 的 AMI 启 
动 新 的 虚拟 服务 器 
"KeyName": {"Ref": "KeyName"}, 
"SecurityGroups": [{"Ref": "SecurityGroupJenkins"}], 
"AssociatePublicIpAddress": true, 
"InstanceType": "t2.micro", 
"UserData": { 
"Fn: :Base64": { 
"Fn: :Join": [ 


Wi 
了 


[ 
"#!1/bin/bash -ex\n", 


"wget http://pkg.jenkins-ci.org/redhat/ 
=jenkins-1.616-1.1.noarch.rpm\n", 
"rpm --install jenkins-1.616-1.1.noarch.rpm\n", 


sl 


"service jenkins start\n" 


我 们 将 执行 以 下 步骤 。 
(1) 为 Jenkins CI 服务 器 增加 一 个 作业 。 


(2) 用 虚拟 服务 器 的 当前 状态 的 快照 创建 一 个 AMI。 
(3) 更 新 启动 配置 。 
(4) 测试 恢复 情况 。 
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$ aws ec2 describe-instances --filters "Name=tag:Name, \ 
Values=jenkins-multiaz" "Name=instance-state-code,Values=16" \ 
--query "Reservations[0].Instances[0].[InstancelId, 
PublicIpAddress]" 

[ 


"i-5e4f68f7", 
"54.88.118.96" 
] 


现在 ， 通 过 以 下 步 又 创建 一 个 新 的 Jenkins 作 业 。 


(1) feb 浏览 器 中 打开 http://$PublicIP:8080/newJob， 用 之 前 的 
describe 命令 输出 的 公有 IP 地 址 蔡 换 $PublicIP ° 


(2) 用 启动 CloudFormation 模 板 时 选择 的 admin 用 户 名 和 密码 进 
ÍTR ° 
(3) 输入 AWS in Action 作为 新 作业 的 名 字 。 


(4) 选择 “Freestyle Project” 〈 上 自由 式 项 目 ) 作为 作业 类 型 ， 点 
击 “OK” 按 钮 保存 作业 。 


我 们 已 经 对 存储 在 EBS 根 卷 里 的 虚拟 服务 器 的 状态 做 了 一 些 修 
PN œ 
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作业 不 会 丢失 ， 需 要 创建 一 个 AMI 作 为 当前 状态 的 快照 。 执 行 以 下 命 
令 来 实现 这 一 点 ， 将 $InstanceId 替换 为 前 面 describe 命令 中 的 
实例 ID 。 


$ aws ec2 create-image --instance-id $InstanceId --name jenkins- 
multiaz 


"TmageId": "ami-Qdba4266" -- -利用 CloudFormation 更 新 启动 配置 里 的 


新 AMI 的 ID 
} 


等 到 映像 变 为 可 用 的 ， 执 行 以 下 命令 检查 当前 状态 ， 用 create- 
image 命令 输出 的 ImageId 替换 $ImageId : 


$ aws ec2 describe-images --image-id $ImageId --query 
"Images[].State" 


我 们 需要 通过 代码 清单 11-5 所 示 的 CloudFormation 模板 更 新 启 
动 配置 。 执 行 以 下 命令 来 实现 这 一 点 ， 用 ImageId 替换 $ImageId : 


$ aws cloudformation update-stack --stack-name jenkins-multiaz \ 
--template-url https://s3.amazonaws.com/awsinaction/\ 


chapteri1/multiaz-ebs.json --parameters \ 
ParameterKey=JenkinsAdminPassword, UsePreviousValue=true \ 
ParameterKey=AMISnapshot, ParameterValue=$Imageld 


等 待 儿 分 钟 ， 直到 CloudFormation 已 经 更 换 局 动 配 置 。 运 行 aws 
cloudformation describe-stacks--stack-name 
jenkins-multiaz 来 检查 状态 ， 直 到 状态 变更 为 
UPDATE_COMPLETE 。 现 在 模拟 虚拟 服务 絮 的 工作 ， 执 行 以 下 命令 终 
止 虚 拟 服 务 器 ， 用 describe 命令 输出 的 结果 替换 $InstanceId : 


$ aws ec2 terminate-instances --instance-ids $InstanceId 


目 动 扩 展 组 检测 丢失 的 虚拟 服务 右 ， 并 开局 一 个 新 的 虚拟 服务 右 
需要 5 min。 运 行 以 下 命令 得 到 新 局 动 虚拟 服务 器 的 信息 。 如 末 输 出 是 
空 值 ， 几 分 钟 后 重 试 命令 执行 : 


$ aws ec2 describe-instances --filters "Name=tag:Name, \ 
Values=jenkins-multiaz" "Name=instance-state-code, Values=16" \ 


--query "Reservations[0].Instances[0].[InstancelId, 
PublicIpAddress]" 


在 浏览 器 中 打开 http://$PublicIP:8080， 用 之 前 的 describe 命令 
输出 的 公有 IP 地 址 蔡 换 $PublicIP ， 就 会 在 Jenkins Web 接 口中 看 到 
可 执行 作业 的 名 字 。 


资源 清理 


为 了 避免 不 必要 的 花费 ， 接 下 来 清理 一 下 资源 。 执 行 以 下 命令 准备 删除 未 使 用 的 资 
Ua: 


$ aws ec2 describe-images --owners self \ 
--query Images[0].[ImageId, BlockDeviceMappings[0]\ 


.Ebs.SnapshotId] 


输出 内 容 包含 映像 (AMI) 的 ID ， 以 及 相应 快照 的 ID“。 执 行 以 下 命令 删除 相应 Jenkins 
设置 的 所 有 资源 。 用 之 前 输出 的 映像 D 蔡 换 $ImageId ， 快 照 ID 替换 $SnapshotId ° 


$ aws cloudformation delete-stack --stack-name jenkins-multiaz 

$ aws cloudformation describe-stacks --stack-name jenkins-multiaz 
到 状态 变更 为 DELETE_COMPLETE 或 者 出 现 堆 栈 不 存在 的 错误 

$ aws ec2 deregister-image --image-id $ImageId 

$ aws ec2 delete-snapshot --snapshot-id $SnapshotId 


11.2.5 陷阱， 网络 接口 恢复 


正如 本 章 一 在 同一 个 可 用 区 内 ， 通 过 CloudWatch 告 
警 的 辅助 来 恢复 虚拟 服务 可 以 很 容易 地 保持 私有 IP 地 址 和 公有 IP 
a o AE H EEEE E IE 这 个 了 地 址 作为 一 个 端点 去 访 
(a 


当 使 用 目 动 扩展 从 服务 万 或 数据 中 心 故障 恢复 时 不 能 这 样 做 。 如 
果 一 个 虚拟 服务 器 必须 在 男 一 个 可 用 区 内 从 数据 中 心 故 障 中 恢复 ， 它 
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址 ， 如 图 11-9 所 示 。 


默认 情况 下 ， 通 过 目 动 扩展 局 动 的 虚拟 服务 器 不 能 把 弹性 IP 作 为 
公有 IP。 但 其 实用 一 个 静态 端点 去 接收 请 求 ， 这 种 需求 是 第 见 的 。 对 
于 Jenkins 服 务 句 的 使 用 场景 ， 开 发 者 想 用 IP 地 址 或 者 主机 名 访问 Web 
接口 。 当 通过 使 用 目 动 扩展 功能 为 单一 虚拟 服务 右 构 建 融 可 用 性 时 ， 
有 多 种 不 同 的 情况 可 能 用 来 提供 一 个 静态 端点 。 


。 分 配 弹性 IP， 在 虚拟 服务 器 引导 程序 中 绑 定 这 个 公有 JP 地 址 。 

+ OUR BI HEAR PDN H KIKI S i ER Ba 
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。 使 用 弹性 负载 均衡 器 (ELB) 作为 一 个 静态 端点 ， 将 请 求 路 由 到 
当前 虚拟 服务 器 。 


使 用 第 二 种 方案 需要 用 Route53 (DNS) 服务 关联 一 个 域名 。 目 前 
已 经 跳 过 这 种 方案 ， 因 为 需要 注册 一 个 域名 来 实现 。ELB (弹性 负载 
均衡 ) 方案 将 在 第 12 革 中 介绍 ， 本 市 先 跳 过 不 讲 。 


因此 ， 我 们 关注 于 第 一 种 方案 : 通过 自动 扩展 在 虚拟 服务 器 引导 
程序 中 分 配 一 个 弹性 IP， 并 且 关 联 这 个 公有 IP 地 址 。 


VPC (虚拟 私有 云 ) 
10.0.0.0/16 


可 用 区 1 可 用 区 2 


子 网 A 
10.0.0.0/24 
公共 子 网 


虚拟 服务 器 虚拟 服务 器 


10.0.0.100 10.0.1.100 


f RIB 了 网 D 
10.0.2.0/24 10.0,3.0/24 


私有 子 网 私有 子 网 


由 于 虚拟 服务 器 是 从 另 一 个 子 网 中 恢复 的 ， 所 以 私有 IP 地 址 改变 了 


图 11-9 在 出 现 故 障 时 ， 虚 拟 服务 器 在 另 一 个 子 网 中 局 动 ， 私 有 了 地 址 改变 


pe a 展 ， 再 次 执行 以 下 命令 创建 Jenkins 配 置 ， 使 用 弹性 IP 


if 点 


$ aws cloudformation create-stack --stack-name jenkins-elasticip \ 
--template-url https://s3.amazonaws.com/\ 


awSinaction/chapteri1/multiaz-elasticip.json \ 
--parameters 


ParameterKey=JenkinsAdminPassword, ParameterValue=$Password \ 
--Capabilities CAPABILITY_IAM 


在 代码 清单 11- 交 命 令 创 建 堆栈 。 通 过 自动 
扩展 运行 Jankins 服 务 器 ， 与 原始 模板 不 同 之 处 如 下 。 


。 分 配 弹 性 IP。 


。 在 用 户 数据 的 脚本 中 ， 加 上 关联 弹性 IP 的 命令 。 
。 创建 IAM 角 色 和 策略 ， 运 行 EC2 实 例 来 天 联 弹性 IP 。 


代码 清单 11-6 ”使 用 弹性 IP 作 为 一 个 静态 端点 


ee 
"TamRole": { <- -创建 一 个 用 于 EC2 实例 的 IAM 角色 


"Type": "AWS::IAM::Role", 
"Properties": { 
"AssumeRolePolicyDocument": { 
"Version": "2012-10-17", 
"Statement": [ 
{ 
"Effect": "Allow", 
"Principal": {"Service": ["ec2.amazonaws.com" ] 
了 


"Action": ["sts:AssumeRole" ] 


J 


] 
ty 
"Path": yA 
"Policies": [ 


"PolicyName": "root", 

"PolicyDocument": { 
"Version": "2012-10-17", 
"Statement": [ 


g 


"Action": ["ec2:AssociateAddress"], -- -使 用 此 IAM 
色 的 EC2 实 例 允许 关联 弹性 IP 

"Resource": ["*"], 

"Effect": "Allow" 


ty 


"TamInstanceProfile": { 
"Type": "AWS::IAM::InstanceProfile", 
"Properties": { 
"Path" . mN 
í / 
"Roles": [{"Ref": "IamRole"}] 
} 
ty 


"ElasticIP": {  —--WiBFFJenkins 的 虚拟 服务 器 分 配 弹性 IP 
"Type": "AWS::EC2::EIP", 
"Properties": { 
"Domain": "vpe" ---HVPC 创建 弹性 IP 
} 


ty 


"LaunchConfiguration": { 
"Type": "AWS: :AutoScaling: :LaunchConfiguration", 
"DependsOn": "ElasticIP", -- -等 待 直至 弹性 IP 可 用 
"Properties": { 
"InstanceMonitoring": false, 
"TamInstanceProfile": {"Ref": "IamInstanceProfile"}, 
"ImageId": {"Fn::FindInMap": [ 
"EC2RegionMap", 


{"Ref": "AWS: :Region"}, =- -将 AWS CLI 的 默认 区 域 设 置 为 虚拟 服务 
锋 正 在 运行 的 区 域 
"AmazonLinuxAMIHVMEBSBacked64bit" 
|}, 


"KeyName": {"Ref": "KeyName"}, 
"SecurityGroups": [{"Ref": "SecurityGroupJenkins"}], 
"AssociatePublicIpAddress": true, 
"InstanceType": "t2.micro", 
"UserData": { 
"Fn: :Base64": { 
"Fn::Join": [ 


"#!/bin/bash -ex\n", 

"aws configure set default.region ", {"Ref": 
"AWS: :Region"},", =- -从 实例 元 数据 获得 实例 ID 

"aws ec2 associate-address --instance-id ", —- -给 虚拟 
服务 器 关联 弹性 IP 

"SINSTANCE_ID --allocation-id ", 

{"Fn::GetAtt": ["ElasticIP", "AllocationId"]}, 

"\n", 

"wget http://pkg.jenkins-ci.org/redhat/ 

=jenkins-1.616-1.1.noarch.rpm\n", 

"rpm --install jenkins-1.616-1.1.noarch.rpm\n", 

[ere aia] 


"service jenkins start\n" 


如 果 该 查询 返回 的 输出 包括 URL、 用 户 和 密码 ， 就 表明 这 个 堆栈 
创建 好 了 ， 并 且 Jenkins 服 务 器 也 可 以 使 用 了 。 n 
URL， 用 选择 的 admin 用 户 和 密码 登录 Jenkins 服 务 器 。 如 果 输 出 是 空 
的 ， 几 分 钟 后 重 试 : 


$ aws cloudformation describe-stacks --stack-name jenkins- 
elasticip \ 


--query Stacks[0].Outputs 


现在 可 以 测试 虚拟 服务 器 是 否 按期 望 恢 复 。 接 下 来 ， 我 们 需要 知 
道 运 行 虚拟 服务 器 的 实例 ID。 运 行 以 下 命令 获取 这 个 信息 : 


$ aws ec2 describe-instances --filters "Name=tag:Name, \ 
Values=jenkins-elasticip" "Name=instance-state-code, Values=16" \ 
--query "Reservations[0].Instances[0].InstanceId" --output text 


执行 以 下 命令 终止 虚拟 服务 器 ， 通 过 自动 扩展 触发 测试 恢复 过 
程 。 用 之 前 的 命令 输出 的 信息 蔡 换 $InstanceId : 


$ aws ec2 terminate-instances --instance-ids $InstanceId 


等 待 几 分 钟 , PRE Ba AA 因为 我 们 是 通过 局 动 时 引导 配置 把 
弹性 IP 分 配给 新 虚拟 服务 on bl RATE LEE Dl as PFT AEA 
URL， 这 个 URL 束 是 之 前 终止 旧 实 例 的 URL 。 


清理 资源 避免 额外 花费 。 执 行 以 下 命令 删除 Jenkins 设 置 相 关 的 所 有 资 ; 


$ aws cloudformation delete-stack --stack-name jenkins-elasticip 
$ aws cloudformation describe-stacks --stack-name jenkins-elasticip 


这 个 命令 ， 直 到 状 体 变 为 DELETE_COMPLETE， 或 者 发 送 错 误 说 堆栈 不 存在 


现在 即使 运行 中 的 虚拟 服务 器 需要 被 一 个 可 用 区 的 另 一 个 虚拟 服 
务 咒 代替 ， 运 行 Jenkins 的 虚拟 服务 器 的 公有 了 IP 地 址 不 会 改变 了 。 


11.3 “分 析 灾 难 恢复 的 需求 


在 AWS 上 实现 高 可 用 或 者 容错 的 架构 之 前 ， 你 应 该 先 分 析 灾 难 恢 
复 需 求 。 与 传统 数据 中 心 相 比 ， 云 上 的 灾难 恢复 更 容易 、 更 经 济 。 但 
是 这 也 增加 了 系统 的 复杂 性 ， 进 而 增加 了 系统 的 初始 成 本 和 运营 成 
本 。 从 业务 的 角度 上 看 ， 对 系统 进行 灾难 恢复 ， 恢 复 时 间 目 标 
RB 
示 准 。 


恢复 时 间 目 标 (Recovery Time Objective，RTO) 是 让 系统 从 失败 
中 恢复 的 时 间 。 时 间 的 长 度 直 到 故障 后 达到 系统 服务 级 别 。 在 Jenkins 
服务 硕 的 例子 中 ，RTIO 应 该 是 在 虚拟 服务 右 或 者 整个 数据 中 心 故障 
后 ， 一 直到 新 的 虚拟 服务 器 被 启动 ，Jenkins 服 务 器 被 安装 并 运行 。 


恢复 点 目标 (Recovery Point Objective, RPO) 是 由 失败 导致 的 可 
接受 数据 丢失 的 时 间 点 。 丢 失 的 数据 量 在 时 间 内 可 被 衡量 。 如 采 故 障 
发 生 在 早上 10 点 ， 系 统 从 数据 快照 在 早上 9 点 开始 恢复 ， 数 据 丢 失 的 时 
间 跨 度 是 1h。 在 使 用 自动 扩展 的 Jenkins 服 务 器 的 例子 中 ， 两 个 EBS 快 
照 是 RPO 的 最 大 时 间 跨 上 度 。 在 男 一 个 数据 中 心 恢 复 时 ，Jenkins 作 业 的 
配置 和 结果 发 送 改 变 ， 数 据 在 最 后 一 个 EBS 快 照 之 后 将 丢失 。 图 11-10 
说 明了 RTO 和 RPO 的 定义 。 


El 


最 后 一 次 备份 故障 恢复 
系统 的 一 部 分 失效 了 。 服务 再 次 运行 ， 数 据 从 
服务 中 断 的 开始 上 次 备份 恢复 


图 11-10 RTO 和 RPO 的 定义 


单个 虚拟 服务 器 的 RTO 和 RPO 的 比较 


要 使 单个 服务 具有 高 可 用 性 ， 我 们 将 学 习 两 种 可 行 的 解决 方案 。 
表 11-2 对 这 两 种 解决 方案 进行 了 对 比 。 


表 11-2 对 单个 虚拟 服务 器 的 高 可 用 性 对 比 


) 从 虚拟 服务 器 失效 中 局 
clouded 但 并 不 能 从 整个 可 用 区 
中 恢复 


自 最 后 一 次 快照 的 所 有 数据 丢 | 从 虚拟 服务 器 失效 中 恢复 ， 
人 快照 的 时 间 花 费 在 30 min | 并 且 从 整个 可 用 区 故障 
24h 复 


如 果 想 在 可 用 区 之 外 恢复 并 降低 RPO， 应 该 尝试 实现 无 状态 服务 
器 。 使 用 存储 服务 ， 如 RDS、 S3 和 DynamoDB 服 务 ， 可 以 做 到 这 一 
点 。 如 果 需 要 使 用 这 些 服 务 ， 可 阅读 本 书 的 第 三 部 分 。 
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11.4 小 结 


。 如 果 底 层 硬件 或 者 软件 出 现 故 障 ， 虚 拟 服务 器 将 失效 。 

。 可 以 借助 CloudWatch 告 警 的 帮助 来 恢复 已 经 失效 的 虚拟 服务 机 。 

ne E 
X o 

。 使 用 多 可 用 区 部 署 可 从 数据 中 心 故障 中 恢复 。 

。 虽然 有 一 些 服 务 默认 使 用 多 可 用 区 部 署 ， 但 虚拟 服务 器 是 运行 在 
单个 可 用 区 内 的 。 

。 如 有 条 一 个 可 用 区 失效 了 ， 可 以 使 用 目 动 扩展 来 保证 单个 虚拟 服务 
锋 总 处 于 运行 状态 。 

。 当 数 据 存 储 在 EBS 卷 中 ， 而 不 是 使 用 RDS、S3 和 DynamoDB 这 样 
的 托管 服务 时 ， 在 另 一 个 可 用 区 中 恢复 数据 是 不 太 现 实 的 。 
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本 章 主要 内 容 


。 系统 解 硝 的 原因 
。 利 用 人 负载 均衡 器 同步 解 硝 
。 利 用 消息 队列 异步 解 类 


设想 一 下 你 打算 从 我 这 里 得 到 一 些 关 于 使 用 AWS 的 建议 ， 因 此 我 
们 计划 在 咖啡 第 见 个 面 。 为 了 使 这 次 会 面 成 功 ， 我 们 必须 具备 这 样 几 
个 条 件 : 
。 同时 有 空 ; 
。 在 同一 个 地 点 ; 
。 在 咖啡 馆 找 到 彼此 。 
这 次 会 面 的 问题 是 它 与 一 个 具体 的 位 置 蜜 切 相 关 。 我 们 可 以 通过 
将 会 面 与 具体 位 置 脱钩 来 解决 问题 ， 于 是 我 们 更 改 计 划 并 安排 使 用 
Google Hangout 来 对 话 。 那 么 ， 我 们 现在 束 必 须要 做 到 : 
。 同时 有 空 ; 
。 Google Hangout 上 找到 对 方 。 
Google Hangout (这 也 适用 于 所 有 其 他 视频 /语音 聊天 工具 ) 让 我 
们 实现 了 同步 解 厢 。 它 消除 了 在 同一 地 点 的 要 求 ， 但 仍然 要 求 我 们 在 
同一 时 间 对 话 。 
我 们 其 至 还 可 以 通过 使 用 电子 邮件 来 进行 沟通 ， 摊 脱 时 间 上 的 束 
缚 。 现 在 我 们 可 以 这 么 做 : 


。 通过 邮件 找到 彼此 。 


电子 邮件 可 以 做 到 异步 解 耦 。 我 们 可 以 在 收 件 人 睡觉 的 时 候 发 出 
电子 邮件 ， 当 他 们 柄 来 时 会 做 出 回应 。 


MAES 


ARSE TIPE DLA EL TEA BT #7 Meese te OU LX, 就 不 需要 文 
付 任 何 费用 。 记 住 ， 这 仅 适 用 于 读者 为 学 习 本 书 刚刚 创建 的 全 新 AWS 账 户 ， 并 且 在 这 
AWS 账 户 里 没有 其 他 活动 。 & 量 在 儿 天 的 时 间 里 完成 本 章 中 的 示例 ， Ie} BLESS 


必 清 至 帐户 。 


res 


— 


自动 扩展 的 概念 。 


会 面 不 是 唯一 需要 解 耦 的 事情 。 在 软件 系统 中 用 户 可 以 找到 很 多 
KABIH ° 
。 公有 IP 地 址 就 像 我 们 会 面 的 地 点 一 样 。 要 同 Web 服 务 器 发 出 请 


求 ， 就 必须 知道 对 方 的 公有 IP 地 址 ， 并 且 必 须 有 一 台 服 务 器 与 该 
地 址 相连 。 如 果 要 更 改 公有 IP 地 址 ， 双 方 都 要 参与 进来 做 适当 的 


EA e 
。 如 采 要 癌 Web 服 务 器 发 出 请 求 ， 则 Web 服 务 右 必须 同时 处 于 联机 


状态 ， 否 则 请 求 将 会 失败 。 导 致 Web 服 务 硕 离线 的 原因 有 很 多 ， 

如 正在 安装 更 新 、 便 件 故 障 等 。 

AWS 为 这 两 个 问题 提供 了 一 个 解决 方案 。 弹 性 负载 均衡 (Elastic 
Load Balancing, ELB) 服务 提供 了 一 个 位 于 Web 服 务 器 和 互联 网 之 间 
的 负载 均衡 左 ， 可 用 以 同步 解 耦 服务 右 。 对 于 异步 解 耦 ，AWS 提 供 了 
一 个 简单 消息 队列 服务 (Simple Queue Service, SQS) 。 它 提供 了 一 
。 本草 将 介绍 这 两 种 服务 。 我 们 现在 束 从 ELB 

台 学 习 吧 。 


12.1 AA By ase A ER 


将 单个 Web 服务 器 暴露 给 外 界 会 — ， 这 就 是 EC2 实 例 
的 公有 IP 地 址 。 从 这 一 点 来 看 ， 不 能 再 一 次 改变 这 个 公有 IP 地 址 ， 因 
为 许多 客户 端正 用 这 个 地 二 发送 清 求 到 我 们 的 服务 器 ° 于 是 我 们 过 到 


了 以 下 的 问题 。 


。 改变 公有 IP 地 址 是 不 可 能 的 ， 因 为 有 许多 客户 端 依赖 着 它 。 

。 如 果 添 加 额外 的 服务 器 (以 及 IP 地 址 ) 来 处 理 增 加 的 负载 ， 则 所 
有 当前 的 客户 端 都 将 会 忽略 掉 这 个 变化 : 它们 仍 将 所 有 的 请 求 发 
送 到 第 一 个 服务 器 的 公有 IP 地 址 。 


我 们 可 以 使 用 指 癌 自己 的 服务 器 的 DNS 名 字 来 解决 这 些 问 题 ， 但 
DNS 并 不 完全 在 我 们 的 控制 之 下 。 DNS 服务 器 会 缓存 条 目 ， 有 时 它们 
不 遵循 我 们 的 生存 时 间 (Time To Live, TTL) 设置 。 更 好 的 解决 方案 
束 是 使 用 负载 均衡 器 。 


负载 均衡 大 可 以 帮助 解 硝 请 求 者 等 待 即时 啊 应 这 一 类 的 系统 。 客 
户 不 必 将 Web 服 务 硕 骏 露 给 外 部 世界 ， 只 需要 将 负载 均衡 大 和 骏 露 给 外 
界 即 可 。 然 后 ， 负 载 均衡 器 将 请 求 重 定 疝 到 其 后 面 的 Web 服 务 右 上 。 
12-1 展 示 了 负载 均衡 右 是 如 何 工 作 的 。 


AWS 通 过 ELB 服 务 提供 负载 均衡 器 。AWS 人 负载 均衡 器 具有 容错 和 
可 扩展 的 特性 。 对 于 每 个 ELB， 客 户 需 要 支付 0.025 美 元 hb 的 费用 ， 而 
每 GB 处 理 流量 则 需 支付 0.008 美 元 。 这 个 价格 适用 于 弗吉尼亚 北部 

(us-east-1) 区 域 。 


ELB 服 务 没有 独立 的 管理 控 


制 台 ， 


它 被 集成 在 EC2 服 务 中 。 


人 负载 均衡 器 可 以 与 多 个 Web 服 务 右 一 起 使 用 
请 求 / 啊 应 类 型 的 任何 系统 的 前 端 使 用 人 负载 均衡 器 。 


客户 可 以 在 处 理 


负载 均衡 器 将 传 入 的 请 求 路 由 到 


两 个 后 端的 Web 服 务 器 之 一 负载 均衡 器 可 以 通过 公共 名 称 


_ hi 
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Web 服 务 器 1 Web 服 务 器 2 


Web 服 务 器 只 能 通过 
负载 均衡 器 访问 


图 12-1 负载 均衡 器 同步 解 厢 你 的 服务 器 


12.1.1 使 用 虚拟 服务 器 设置 负载 均衡 家 


当 涉 及 许多 AWS 服 务 集成 在 一 起 时 ，AWS 的 优势 就 会 显现 出 来 。 
在 第 11 间 中， 我们 了 解 了 目 动 扩展 组 。 你 现在 将 弹性 负载 均衡 器 
(ELB) 放 在 上 自动 扩展 组 之 前 ， 以 便 将 流量 与 Web 服 务 器 解 厢 。 有 自动 
扩展 组 将 确保 你 始终 有 两 合 服务 器 正在 运行 。 在 目 动 扩展 组 中 局 动 的 
服务 器 将 目 动 同 ELB 注 册 。 图 12-2 展 示 了 设置 的 方式 。 有 趣 的 是 ，Web 
服务 器 不 能 直接 从 互联 网 访问 。 只 有 人 负载 均衡 絮 是 可 以 访问 的 ， 并 将 
请 求 重 定 回 到 其 后 端的 服务 右上 ， 这 是 由 安全 组 完成 的 ， 读 者 可 以 在 
第 6 章 中 了 解 安 全 组 的 知识 。 


互联 网 
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自动 扩展 组 观察 两 个 Web 服 务 器 。 如 果 启 动 了 新 服务 器 ， 
则 自动 扩展 组 会 向 ELB 注 册 


图 12-2 ”自动 扩展 组 与 ELB 紧 密 合作 ， 在 负载 均衡 器 上 注册 新 的 服务 
天 于 ELB 有 如 下 的 描述 。 


。 将 ELB 附 加 到 子 网 上 ， 子 网 的 数量 可 以 有 多 个 。 
。 ELB 的 端口 映射 到 位 于 其 后 端的 服务 絮 的 端口 上 。 
。 需要 分 配 安全 组 给 ELB， 客 户 可 以 使 用 与 EC2 实 例 相 同 的 方式 限 
制 ELB 的 流量 。 
。 可 以 选择 ELB 是 否 可 以 从 公 网 访问 。 
通过 在 自动 扩展 组 描述 中 指定 LoadBalancerNames 实现 ELB 和 
自动 扩展 组 之 间 的 连接 。 


代码 清单 12-1 展 示 了 一 个 CloudFormation 模 板 片 段 ， 其 作用 是 创建 
ELB 并 将 其 与 目 动 扩展 组 连接 。 这 个 代码 清单 实现 了 图 12-2 所 示 的 示 
例 。 


代码 清单 12-1 创建 负载 均衡 器 并 将 其 与 自动 扩展 组 连接 


"LoadBalancerSecurityGroup": { 
"Type": "AWS::EC2::SecurityGroup", 
"Properties": { 


"GroupDescription": "elb-sg", 
"VpciId": {"Ref": "VPC"}, 
"SecurityGroupIngress": [{ =- -负载 均衡 器 只 接受 80 端口 的 流量 


"CidrIp": "0.0.0.0/0", 
"FromPort": 80, 


"ToPort": 80, 
"IpProtocol": "tcp" 
}] 
} 


T 
"LoadBalancer": { 


"Type": "AWS::ElasticLoadBalancing::LoadBalancer", 
"Properties": { 


"Subnets": [{"Ref": "Subnet"}], ---JŞELB 附加 到 子 网 上 
"LoadBalancerName": "elb", 
"Listeners": [{ —- -映射 负载 均衡 器 的 端口 到 其 后 端的 服务 器 端口 
"InstancePort": "80", 
"InstanceProtocol": "HTTP", 
"LoadBalancerPort": "80", 
"Protocol": "HTTP" 
}], 


"SecurityGroups": [{"Ref": "LoadBalancerSecurityGroup"}], 
~- -分 配 一 个 安全 组 
"Scheme": "internet-facing" ---ELB 是 公开 可 访问 的 〈 仅 用 于 内 部 而 
不 是 互联 网 ， 可 以 将 负载 均衡 器 定义 为 仅 可 从 私有 网 络 访问 ) 
} 
ty 
"LaunchConfiguration": { 


"Type": "AWS: :AutoScaling: :LaunchConfiguration", 
"Properties": { 


ty 
"AutoScalingGroup": { 


"Type": "AWS: :AutoScaling: :AutoScalingGroup", 
"Properties": { 


"LoadBalancerNames": [{"Ref": "LoadBalancer"}], -- -将 自动 扩 
展 组 连接 到 ELB 

"LaunchConfigurationName": {"Ref": "LaunchConfiguration"}, 

"MinSize": "2", 

"MaxSize": "2", 

"DesiredCapacity": "2", -- -最 小 尺寸 (MinSize) 、 最 大 尺寸 


(MaxSize) 和 最 大 容量 (DesiredCapacity) 的 设 定 
"VPCZoneIdentifier": [{"Ref": "Subnet"}] 
} 
} 


为 了 更 好 地 理解 ELB， 我 们 创建 了 一 个 CloudFormation 模 板 ， 这 个 
模板 位 于 https:// 


s3.amazonaws.com/awsinaction/chapter12/loadbalancer.json。 根据 该 模板 


创建 一 个 堆栈 ， 然 后 使 用 浏览 絮 访 问 堆 栈 的 URL 输 出 。 每 次 重新 加 载 
页 面 时 ， 都 应 该 可 以 看 到 后 端 Web 服 务 器 的 私有 了 P 地 址 之 一 。 


ma ya y 
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删除 创建 的 堆栈 。 


12.1.2 ”陷阱 : 过 早 地 连接 到 服务 髓 


目 动 扩展 组 负责 将 新 局 动 的 EC2 实 例 与 负载 均衡 磊 连 接 起 来 。 但 
征 ， 目 动 扩展 组 如 何 知 道 EC2 实 例 何 时 已 经 安 又 并 准备 好 接受 流量 ? 
遗憾 的 是 ， 目 动 扩展 组 其 实 并 不 知道 服务 书 是 否 准备 束 绪 ， 它 会 在 实 
例 启动 后 立即 向 负载 均衡 器 注册 EC2 实 例 。 如 果 将 流量 发 送 到 已 启动 
但 未 整 绪 的 服务 器 ， 则 请 求 将 失败 ， 你 的 用 户 将 会 感到 很 不 满意 。 


但 是 ，ELB 可 以 对 连接 的 每 个 服务 器 定期 进行 运行 状况 检查 ， 以 
确定 服务 器 是 否 可 以 提供 请 求 。 在 web 服务 器 示例 中 ， 需 要 检查 是 否 
获取 特定 资源 (如 /index.html) 的 状态 响应 代码 200。 代 码 清单 12-2 展 
示 了 如 何 使 用 CloudFormation 完 成 此 操作 。 


代码 清单 12-2 ELB 健 康 检查 以 确定 服务 器 是 否 能 够 响应 请 求 


"LoadBalancer": { 
"Type": "AWS: :ElasticLoadBalancing: :LoadBalancer", 
"Properties": { 


Poca] 
"HealthCheck": { 
"Target": "HTTP:80/index.html", - -服务 器 对 /index.html 返回 
的 状态 代码 是 200 I 
"Interval": "10", --- 每 10 s 进行 一 次 检查 
"Timeout": "5", -- -超时 时 间 为 5 s (必须 小 于 Interval) 
"HealthyThreshold": "3", 一- -检查 连续 通过 3 次 才能 认为 是 运行 状况 
民 好 的 
"UnhealthyThreshold": "2" 一- -检查 连续 失败 两 次 ， 则 认为 是 运行 状况 
不 好 的 
} 
} 


} 


如 果 不 去 检查 /index.html， 还 可 以 去 请 求 一 个 动态 页 面 ， 
如 /healthy.php， 来 进行 一 些 额 外 的 检查 ， 以 确定 Web 服务 器 是 否 准 备 
好 处 理 请 求 。 协 议 中 的 约定 就 是 ， 当 服务 妖 准 备 束 绪 时 ， 必 须 返 回 200 
作为 HTTP 状 态 码 。 如 此 而 已 。 


十 于 忙 ， 以 至 于 无 法 接收 运行 状况 检查 ， 则 ELB 将 停止 向 该 服务 器 转发 流 
量 。 .如果 SAUD IRIAN ESOL st EL AE 兽 加 而 引起 的 ， ELB 的 反应 将 使 情况 
变 得 更 糟 ! 我 们 已 经 看 到 应 用 程序 由 于 过 于 激进 的 运行 状况 检查 而 i 需要 的 

来 了 解 究竟 发 生 了 什么 。 一 个 适用 的 解决 方案 一 定 是 针对 特定 的 应 程 
9， 不 可 能 是 通用 的 方案 。 
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默认 情况 下 ， 自 动 扩 展 组 会 根据 EC2 每 分 钟 执行 的 运行 状况 检查 
的 结果 来 判定 EC2 实 例 是 否 正 常 。 你 也 可 以 将 自动 扩展 组 配置 为 使 用 
负载 均衡 器 所 运行 的 状况 检查 。 不 仅仅 是 当 硬 件 出 现 故障 ， 而 且 对 于 
应 用 程序 发 生 故 障 自 动 扩展 组 都 将 终止 服务 器。 具体 的 做 法 是 在 目 动 
扩展 组 描述 中 设置 "HealthCcheckType": "ELB" 。 许 多 时 候 这 个 设 
置 是 有 意义 的 ， 因 为 重新 启动 服务 器 可 以 解决 内 存 、 线 程 池 或 磁盘 空 


间 不 足 等 问题 。 但 是 ， 在 应 用 程序 已 经 损坏 的 情况 下 这 也 可 能 导致 完 
全 不 必要 的 EC2 实 例 重启 。 


12.13 ”更 多 使 用 场景 


到 目前 为 止 ， 我 们 已 经 看 到 了 ELB 最 常见 的 使 用 场景 : 通过 HTTP 
将 传 入 的 web 请求 负载 均衡 到 Web 服 务 右 上 。 如 前 所 述 ，ELB 实 际 上 可 
以 做 得 更 多 。 在 本 节 中 ， 我 们 将 看 看 男 外 4 个 典型 的 使 用 场景 。 


(1) ELB 能 够 均衡 TCP 流 量 ， 几 乎 可 以 将 任何 应 用 程序 部 署 在 负 
载 均衡 硕 的 后 端 。 


(2) 如 果 将 SSL 证 书 添加 到 AWS 上 上 ，ELB 可 以 将 SSL 加 密 过 的 流 
量 转换 为 普通 的 流量 。 


(3) ELB 可 以 记录 下 每 一 个 请 求 ， 并 将 请 求 日 志 存 储 在 S3 上 。 


(4) ELB 可 以 在 多 个 可 用 区 (AZ) 之 间 均 匀 分 配 客户 的 请 求 。 
1. 处 理 TCP 流 量 


到 目前 为 止 ， 你 只 使 用 ELB 来 处 理 HTTP 流 量 。 你 还 可 以 配置 ELB 
用 来 重 定 回 纯 TCP 的 通信 ， 解 耦 使 用 专 有 接口 的 数据 库 或 传统 应 用 。 
与 处 理 HTTP 流 量 的 ELB 配 置 相 比 ， 你 必须 更 改 侦 听 器 和 健康 检查 的 设 
定 以 实现 使 用 ELB 人 处 理 TCP 流 量 。 这 种 情况 下 ， 运 行 状 况 检 查 就 不 同 
于 处 理 HTTP 时 一 样 检 查 特 定 的 啊 应 。 当 ELB 打 开 套 接 字 时 ，TCP 流 量 
的 运行 状况 可 以 认为 是 运行 状况 恨 好 的 。 代 码 清单 12-3 展 示 了 如 何 将 
TCP 流 量 重 定 同 到 后 端的 MySQL 。 


代码 清单 12-3 ”ELB 处 理 普通 的 TCP 流 量 (不 仅仅 是 HTTP) 


"LoadBalancer": { 
"Type": "AWS::ElasticLoadBalancing::LoadBalancer", 
"Properties": { 
"Subnets": [{"Ref": "SubnetA"}, {"Ref": "SubnetB"}], 
"LoadBalancerName": "elb", 
"Listeners": [{ -- -流量 被 重 定向 到 后 端 服务 器 的 端口 3306 (MySQL) 
"InstancePort": "3306", 
"InstanceProtocol": "TCP", 
"LoadBalancerPort": "3306", 
"Protocol": "TCP" 
}], 
"HealthCheck": { 
"Target": "TCP:3306", ) SELB AJ UER mM 器 的 端口 3306 
上 打开 套 接 字 的 时 候 ， 一 切 运行 正常 
"Interval": "10", 
"Timeout": "5", 
"HealthyThreshold": "3", 
"UnhealthyThreshold": "2" 
ty 
"SecurityGroups": [{"Ref": "LoadBalancerSecurityGroup"}], 
"Scheme": "internal" —--MySQL 数据 库 不 应 该 被 暴露 到 外 部 ， 应 当 ; 
内 部 的 负载 均衡 器 
} 


} 


实际 上 ， 还 可 以 将 端口 80 配 置 为 按照 TCP 流 量 进行 处 理 ， 但 这 样 
你 将 无 法 根据 Web 服 务 絮 返回 的 状态 代码 进行 运行 状况 检查 。 


2. 终止 SSL 
ELB 可 以 用 来 终止 SSL， 而 无 须 做 任何 配置 。 终 止 SSL 意 味 着 ELB 


提供 了 SSL 加 密 的 端点 ， 将 未 加 密 的 请 求 转 发 到 后 端 服务 右 。 图 12-3 
展示 了 这 是 如 何 工作 的 。 


端口 443 上 的 SSL 加 密 流量 到 达 ELB。 
在 内 部 ， 流 量 被 使 用 私 钥 解 密 。ELB 
将 解密 〈 纯 HTTP) 后 的 流量 转发 到 
\ 互联 网 ， ”后 端 服务 器 80 端 口上 
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图 12-3 ”负载 均衡 器 可 以 接受 加 密 流量 ， 解 密 流量 ， 并 将 未 加 密 流 量 转发 到 后 端 


端口 443 上 的 SSL 加 密 流 量 到 达 ELB。 在 内 部 ， 流 量 被 使 用 私 钥 解 
密 。ELB 将 解密 〈 纯 HITP) 后 的 流量 转发 到 后 端 服务 器 80 端 口上 。 


客户 可 以 使 用 来 自 AWS 的 预定 义 的 安全 策略 以 获得 安全 的 SSL 配 
置 ， 好 处 是 当 SSL 被 发 现 了 漏洞 可 以 得 到 保护 。 客 户 可 以 接受 来 自 端 
[1443 (HTTPS) 的 请 求 ， 而 ELB 终 止 SSL 并 将 该 请 求 转发 到 Web 服 务 
名 上 的 端口 80。 这 是 针对 SSL 加 密 通 信 的 简单 的 解决 方案 。SSL 终 止 不 
仅 适 用 于 HTTP 请 求 ， 也 适用 于 TCP 流 量 (如 POP3、SMTP ` FTP 


等 ) 


”以 下 示例 仅 在 读者 已 经 拥有 SSL 证 书 时 有 效 。 如 果 没 有 ， 读 者 需要 购买 SSL 证 书 或 跳 过 
该 示例 。AWS 目 前 不 提供 SSL 证 书 。 读 者 可 以 使 用 自 签名 证 书 进行 测试 出 。 


[1 2016 年 发 布 的 AWS Certificate Manager 可 以 帮助 用 户 快速 申请 证 书 在 AWS 资源 上 部 署 该 


证 书 。 


一 一 译 者 注 


在 激活 SSL 加 密 之 前 ， 我 们 必须 借助 AWS 命 令 行 接口 (Command 
Line Interface, CLI) 将 SSL 证 书 上 传 到 IAM: 


$ aws 


iam upload-server-certificate \ 


--server-certificate-name my-ssl-cert \ 


--certificate-body file://my-certificate.pem \ 
--private-key file://my-private-key.pem \ 
--certificate-chain file://my-certificate-chain.pem 


现在 ， 我 们 可 以 通过 引用 my-ssl-cert 来 使 用 SSL 证 书 了 。 代 
码 清 单 12-4 展 示 了 如 何在 ELB 的 帮助 下 配置 加 密 的 HTTP 通 信 。 


代码 清单 12-4 ”使 用 ELB 终 止 SSL 提 供 的 加 密 通 信 


"LoadBalancer": { 
"Type": "AWS::ElasticLoadBalancing::LoadBalancer", 
"Properties": { 
"Subnets": [{"Ref": "SubnetA"}, {"Ref": "SubnetB"}], 


"LoadBalancerName": "elb", 
"Policies": [{ -- -配置 SSL 


"PolicyName": "ELBSecurityPolicyName", 
"PolicyType": "SSLNegotiationPolicyType", 
"Attributes": [{ 


"Name": "Reference-Security-Policy", 
"Value": "ELBSecurityPolicy-2015-05" 一- -使 用 预定 义 的 安全 策 
略 作 为 配置 
}] 
}], 
"Listeners": [{ 
"InstancePort": "80", 一- -后 端 服务 器 监听 端口 86 (HTTP) 
"InstanceProtocol": "HTTP", 
"LoadBalancerPort": "443", -- -ELB 接 受 端 口 443 (HTTPS) 的 请 求 
"Protocol": "HTTPS", 
"SSLCertificateId": "my-ssl-cert", ~- -9| 用 之 前 上 传 的 SSL 证 书 


"PolicyNames": ["ELBSecurityPolicyName" ] 


}], 
"HealthCheck": { 


ty 


(eal 


"SecurityGroups": [{"Ref": "LoadBalancerSecurityGroup"}], 
"Scheme": "internet-facing" 


在 ELB 的 帮助 下 终止 SSL， 将 减少 许多 对 提供 安全 通信 至 关 重 要 


的 管理 任务 。 我 们 融 励 你 在 FLB 的 帮助 下 使 用 HTTPS， 这 将 保护 你 的 
客户 在 与 你 的 服务 郁 通 信 时 免 受 各 种 攻击 。 


安全 策略 ELBSecurityPolicy-2015-05 不 再 是 最 新 的 站 。 安 全 策略 中 定义 了 支持 
什么 版 本 的 SSL、 支 持 哪 些 密码 以 及 其 他 与 安全 相关 的 选项 。 如 果 没 有 使 用 最 新 的 安全 策 
略 版 本 ， 则 SSL 设 置 可 能 会 很 脆弱 。 访 问 AWS 官 方 网 站 可 获取 最 新 版 本 。 


[2] 截至 2017 年 5 月 ， 最 新 的 安全 策略 是 ELBSecurityPolicy-2016-08。 一 -一 译 者 注 


我 们 建议 你 仅 为 目 己 的 用 户 提供 SSL 加 密 的 通信 。 除 保护 敏感 数 
据 之 外 ， 这 也 将 对 Google 的 搜索 排名 产生 积极 的 影响 。 


3. 记录 日 志 


ELB 可 以 $3 集成 以 提供 访问 目 志 * 访问 日 志和 包含 eileen 
所 有 请 求 的 信息 。 你 可 能 已 ZAFAR J Apache Web 服 务 絮 等 Web 服 务 
的 访问 日 志 ， 可 以 使 用 访问 日 志 来 调试 后 山 的 故障 ， i 分 析 对 系统 进 
行 了 多 少 请 求 。 


要 激活 访问 日 志 记 录 ，ELB 必 须知 道 应 将 日 志 写 入 哪个 S3 存 储 
桶 。 我 们 还 可 以 指定 访问 日 志 写 入 $3 的 频率 。 我 们 需要 设置 一 个 S3 存 
储 桶 的 策略 ， 以 允许 ELB 写 入 存储 桶 ， 如 代码 清单 12-5 所 示 。 


代码 清单 12-5 ”policy.json 


"Td": "Policy1429136655940", 
"Version": "2012-10-17", 
"Statement": [{ 


"Sid": "Stmt1429136633762", 
"Action": ["s3:PutObject"], 
"Effect": "Allow", 


"Resource": "arn:aws:sS3:::elb-logging-bucket-$YourName/ *", 
"Principal": { 
"AWS": [ 


"127311923021", "027434742980", "797873946194", 
"156460612806", "054676820928", "582318560864", 
"114774131450", "783225319266", "507241528517" 


要 应 用 策略 并 创建 S3 存 储 桶 ， 要 使 用 CLI。 但 不 要 忘记 用 你 的 姓 
A HEA ESYourName ， 以 防止 与 其 他 读者 发 生 名 称 上 的 冲突 。 
这 也 适用 于 policy.json 文 件 。 


$ aws s3 mb s3://elb-logging-bucket -$YourName 

$ aws S3api put-bucket-policy --bucket elb-logging- 
bucket-$YourName \ 

--policy file://policy.json 


现在 还 可 以 使 用 代码 清单 12-6 所 示 的 CloudFormation 摘 述 激活 访问 
日 志 。 


代码 清单 12-6 ”激活 ELB 生 成 的 访问 日 志 


"LoadBalancer": { 
"Type": "AWS: :ElasticLoadBalancing: :LoadBalancer", 
"Properties": { 


Fesa] 
"AccessLoggingPolicy": { 
"EmitInterval": 10, 二 - -日 志 写 入 S3 的 间隔 (5~60 min) 
"Enabled": true, 
"S3BucketName": "elb-logging-bucket-$YourName", ---S3 存储 
的 名 字 
"S3BucketPrefix": "my-application/production" —- -如 果 要 将 多 
个 访问 日 志保 存 到 同一 个 S3 存储 桶 (Ae) ， 可 以 在 访问 日 志 前 加 上 前 绥 
} 


} 


| | 
ELB 现 在 不 时 地 将 访问 日 志文 件 写 入 到 指定 的 S3 存 储 桶 。 访 问 日 


志 类 似 于 Apache Web 服 务 器 创建 的 访问 日 志 ， 但 是 你 不 能 更 改 其 包含 
的 信息 的 格式 。 以 下 片段 显示 访问 日 志 的 一 行内 容 : 


2015-06-23T06:40:08.771608Z elb 92.42.224.116:17006 
172.31.38.190:80 
0.000063 0.000815 0.000024 200 200 0 90 


"GET http://elb-....us-east-1.elb.amazonaws.com:80/ HTTP/1.1" 
"Mozilla/5.0 (Macintosh; ...) Gecko/20100101 Firefox/38.0" - - 


下 面 是 访问 日 志 始 终 包含 的 信息 片段 的 示例 。 


. HEE: 2015-06-23T06:40:08.771608Z ° 

。 ELB 的 名 称 : elb 。 

。 客户 端 IP 地 址 和 端口 : 92.42.224.116:17006 ° 

。 后 端 IP 地 址 和 端口 : 172.31.38.190:80 ° 

。 在 负载 均衡 絮 中 人 处理 请 求 的 秒 数 : 0.000063 。 

。 请 求 在 后 端 处 理 的 秒 数 : 0.000815 ° 

。 在 负载 均衡 絮 中 人 处理 啊 应 的 秒 数 : 0.000024 。 

。 负载 均衡 器 返回 的 HTTP 状 态 码 : 200 ° 

。 后 端 返回 的 HTTP 状 态 码 : 200 ° 

。 PAINFUL: 0 。 

。 发 送 的 字 币 数 : 90 。 

。 请求 : "GET http://elb-....us-east- 
1,.elb.amazonaws.com:80/ HTTP/1.1" 

。 用户 代 理 : "Mozilla/5.0 (Macintosh; 
...)Gecko/20100101 Firefox/38.0" ° 


从 


余 在 日 志 示 例 中 创建 的 S3 存 储 桶 : 


$ aws s3 rb --force s3://elb-logging-bucket-$YourName 


4. 路 可 用 区 的 负载 均衡 


ELB 是 一 种 容错 服务 。 创 建 一 个 ELB， 将 收 到 一 个 公共 的 名 称 ， 
elb-1079556024. us-east-1.elb.amazonaws.com s IX 
名 字 将 作为 端点 (endpoint) 。 看 到 这 个 名 字 背 后 的 东西 是 很 有 趣 的 ， 
可 以 使 用 命令 行 应 用 程序 dig (或 Windows 上 的 nslookup ) 回 DNS 
服务 颖 查询 这 个 特定 的 名 称 : 


$ dig elb-1079556024.us-east-1.elb.amazonaws.com 


;; ANSWER SECTION: 


elb-1079556024.us-east-1.elb.amazonaws.com. 42 IN A 52.0.40.9 
elb-1079556024.us-east-1.elb.amazonaws.com. 42 IN A 52.1.152.202 
[ssa 


% Felb-1079556024.us-east-1.elb.amazonaws.com 被 
解析 为 两 个 了 地 址 ， 即 52.0.40.9 和 52.1.152.202。 当 创建 负载 均衡 器 
时 , AWS FFE 后 台 局 动 两 个 实例 ， 并 使 用 DNS 在 两 者 之 间 进 行 分 配 。 
为 了 使 服务 器 具有 容错 的 机 制 ，AWS 会 在 不 同 的 可 用 区 中 生成 负载 均 
衡 右 实例 。 默 认 情况 下 ，ELB 的 每 个 负载 均衡 属实 例 只 将 流量 发 送 到 
同一 可 用 区 中 的 EC2 实 例 。 如 果 要 跨 可 用 性 区 分 发 请 求 ， 则 可 以 启用 
路 可 用 区 的 负载 均衡 。 图 12-4 展 示 了 路 可 用 区 负载 均衡 的 很 重要 的 场 


= 
ao 


互联 网 
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A 10.0.1.0/24 ma 10.0.2.0/24 
国 be 负载 均衡 器 5 
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图 12-4 ”启用 跨 可 用 区 负载 均衡 实现 在 


fis 


区 之 间 


PBC E 


下 面 的 CloudFormation 代 码 片 段 展 示 了 如 何 使 用 这 个 特性 : 


"LoadBalancer": { 
"Type": "AWS: :ElasticLoadBalancing: :LoadBalancer", 
"Properties": { 


"CrossZone": true 


我 们 建议 启用 跨 可 用 区 负载 均衡 (默认 情况 下 是 禁用 的 ) ， 以 确 
保 请 求 均匀 地 路 由 到 所 有 的 后 端 服务 器 。 


在 下 一 节 中 ， 我 们 将 了 解 有 天 异 步 解 耦 的 更 多 信息 。 


12.2 AAA RDS SAL R 


利用 ELB 实 现 同步 解 耦 是 比较 容易 的 ， 不 需要 修改 代码 去 做 到 这 
一 点 。 但 是 ， 对 于 异步 解 厢 ， 必 须 调整 代码 来 使 用 消 轧 队列。 


消 恩 队列 有 一 个 涉 和 一 个 尾 。 从 头 部 读 取 信息 时 ， 可 以 癌 尾 部 深 
加 新 消 思 ， 这 样 可 以 使 消息 的 生产 和 消费 解 耦 。 生 产 者 稍 费 者 彼此 
并 不 认识 ， 它 们 只 知道 消 妃 队列 而 已 。 图 12-5 说 明了 这 一 原则 。 


Yow Vow 
WS ea > oS 
“fl p” elib "A E 


消息 生产 者 ie SK 消息 消费 者 
队列 尾 队列 头 


图 12-5 ”生产 者 将 消息 发 送 到 消息 队列 ， 消 费 者 读 取消 息 


我 们 可 以 将 新 消 妃 放 入 队列 ， 而 此 时 并 没有 人 正在 读 取 消 思 ， 消 
思 队 列 充 当 了 缓冲 区 。 为 了 防止 消息 队列 增长 无 限 大 ， 消 轧 只 能 保存 
一 定 的 时 间 。 如 采 我 们 从 消 轧 队列 中 消费 消息 ， 则 必须 确认 已 经 成 功 
地 处 理 了 消 思 ， 并 将 其 从 队列 中 永久 删除 。 


简单 队列 服务 (SQS) EEE FEE IAWSIRS ° SQSHEHIE ERA 
J, NK AOS 8 Bb — AR 


TBO R, RIR JS FT BEBE BK ° CURA SE 
消 轧 队列 产品 进行 比较 ， 你 可 能 会 觉得 有 点 儿 奇 怪 。 但 在 本 章 的 
后 面 我 们 看 到 了 如 何 处 理 这 一 问题 。 

3QS 并 个 保证 消息 的 顺序 ， 因此 你 可 能 会 按照 不 同 的 顺序 读 取消 


SQS 的 这 个 限制 也 是 有 其 好 处 的 : 


你 可 以 随意 添加 多 个 消 DS 
(FS ABA Rie a EP AY Be AS IT HA o 


这 个 服务 的 定价 模式 也 很 简单 :每 个 SQS 请 求 需 要 客户 支付 0.000 
000 50 美 元 ， 即 每 百 万 个 请 求 需要 文 付 0.5 美 元 。 生 产 消 恩 十 一 个 请 
求 ， 消 费 则 是 另 一 个 请 求 (如 果 消 息 的 有 效 负 载 大 于 64 KB， 则 每 64 
KB 存储 块 束 算 作 一 个 请 求 ) 。 


12.2.1 将 同步 过 程 转换 成 异步 过 程 


典型 的 同步 过 程 如 下 : 用 户 向 你 的 服务 器 发 出 请 求 ， 服 务 器 完成 
一 些 处 理 ， 并 将 结果 返回 给 用 户 。 为 了 使 这 个 过 程 看 起 来 更 具体 ， 我 
们 将 在 下 面 的 例子 中 讨论 创建 URL 预 览 图 片 的 过 程 。 

(1) 用 户 提交 URL 。 

(2) 服务 器 下 载 URL 中 的 内 容 ， 并 将 其 转换 为 PNG 格 式 的 图 片 。 

(3) 服务 器 将 PNG 文 件 返 回 给 用 户 。 

利用 一 个 小 技巧 ， 可 以 将 这 个 过 程 转化 成 异步 的 。 

(1) 用 户 提交 UR 

Z.A 


(2) 服务 器 将 包 


含 随机 ID 和 URL 的 消息 发 入 消息 队列 中 。 


(3) 服务 器 返回 一 个 将 来 可 以 访问 这 个 PNG 图 片 的 链接 ， 该 链接 
包含 随机 ID (http:// $Bucket.s3-website-us-east- 
1.amazonaws.com/$RandomId.png) 


(4) 在 后 端 ， 工 作 进程 从 队列 中 读 取 消息 、 下 载 内 容 ， 并 将 内 容 
转化 为 PNG 格 式 的 图 片 ， 然 后 将 图 片上 传 到 S3。 


(5) 在 某 个 时 间 点 ， 用 户 尝试 通过 已 知 的 链接 下 载 这 个 PNG 文 


如 果 要 使 用 异步 的 处 理 过 程 ， 束 必须 管理 过 程 局 动 程序 跟 踩 过 程 
状态 的 方式 。 一 种 方法 是 将 ID 返回 给 可 用 于 查找 过 程 的 启动 器 。 在 此 
过 程 中 ，ID 一 步 一 步 传递 。 


12.2.2”URL2PNG 应 用 的 架构 


我 们 现在 可 以 建立 一 个 简单 但 是 解 耦 的 软件 片段 ， 我 们 称 其 为 
URL2PNG。 它 的 功能 是 将 一 个 网 页 的 URL 转 换 成 PNG 图 片 。 接 下 来 ， 
我 们 将 使 用 Node.js 来 完成 编程 的 部 分 ， 并 且 将 会 用 到 SQS。 图 12-6 展 
示 了 URL2PNG 应 用 是 如 何 工 作 的 。 


Node.js 生 成 并 发 送 消息 到 队列 中 ， 用 户 通 过 已 知 的 ID 
其 中 包含 了 ID 以 及 URL 从 S3 下 载 图 片 

te SMEs. ma, 
-O~ m- Si 
用 户 发 出 URL， 然 后 Node.js 使 用 接收 到 的 消息 并 从 URL 生 成 一 个 PNG 文 件 。 
收 到 返回 的 ID 该 文件 将 被 保存 到 S3。 文 件 的 名 字 就 是 ID 


图 12-6 URL2PNG 是 如 何 工 作 的 

为 了 完成 这 个 例子 ， 我 们 需要 创建 一 个 启用 Web 托 管 的 S3 存 储 
桶 。 技 行 下 面 的 命令 ， 用 我 们 的 名 字 或 者 昵称 替换 $YourName ， 以 
避免 与 其 他 读者 的 名 字 冲 突 。 


$ aws s3 mb s3://url2png-$YourName 
$ aws s3 website s3://url2png-$YourName --index-document 


index.html \ 
--error-document error.html 


Web 托 管 的 特性 是 需要 的 ， 以 便 用 户 可 以 从 S3 下 载 图 片 。 现 在 可 
以 开始 建立 消 恩 队列 了 。 


12.2.3 ”创建 消息 队列 


创建 消息 队列 是 一 件 简 单 的 事情 一 一 仅 需 要 指定 队列 的 名 字 : 


$ aws sqs create-queue --queue-name url2png 


"QueueUrl": "https://queue.amazonaws.com/878533158213/url2png" 


返回 的 QueueUrl 将 会 在 后 面 的 例子 中 用 到 ， 一 定 要 保存 好 。 


12.2.4 ”以 程序 化 的 方法 处 理 消息 


你 现在 已 经 有 了 一 个 可 以 用 来 发 送 消息 的 SQS 队 列 了 。 为 了 生成 
消息 ， 你 需要 指定 队列 以 及 有 效 的 载荷 (payload) 。 你 将 再 次 使 
Node.js AWS SDK 结 合 使 用 ， 将 你 的 程序 与 AWS 连 接 起 来 。 


要 安装 Node.js 请 访问 Node.js 官 方 网 站 ， 并 下 载 满足 所 用 的 操作 系统 的 包 。 


下 面 是 通过 适用 于 Node.js 的 AWS SDK 生 成 消息 的 方式 。 它 将 在 以 
后 被 URL2PNG 的 工作 进程 所 使 用 。Node.js 脚 本 可 以 像 下 面 这 样 用 
(现在 不 要 演 试 运行 这 个 命令 一 一 需要 先 安装 和 配置 URL2PNG) : 


$ node index.js "http://aws.amazon.com" 
PNG will be available soon at 


http://url2png-$YourName.s3-website-us-east- 
1.amazonaws.com/XYZ.png 


像 之 前 的 一 样 ， 读 者 可 以 在 下 载 的 源 代码 中 找到 这 段 代 码 。 
URL2PNG 示 例 位 于 /chapter12/url2png/ 下 面 。 代 码 清单 12-7 展 示 了 
index.js 的 实现 。 


代码 清单 12-7 index.js: 发 送 消息 到 队列 中 


var AWS = require('aws-sdk'); 

var uuid = require('node-uuid'); 

var sqs = new AWS.SQS({ =- -创建 一 个 SQS 端点 
"region": "us-east-1" 

3); 

if (process.argv.length !== 3) { 一 - -检查 是 供 了 URL 
console.log('URL missing'); 
process.exit(1); 


} 


var id = uuid.v4(); -- -创建 一 个 随机 ID 

var body = { 二 - -消息 的 内 容 中 包含 随机 ID 和 URL 
"id": id, 
"url": process.argv[2] 


}; 


var params = { 
"MessageBody": JSON. Sh uno oo =- -创建 一 个 SQS 端点 
"QueueUrl": "$QueueUr1" ~- -将 消息 内 容 转 换 为 JSON FRR 


}; 


sqs.sendMessage(params, function(err) { -- -发 送 消息 的 队列 (创建 队 
列 时 返回 的 ) 
if (err) { 
console.log('error', err); 
} else { 
console.log('PNG will be available soon at 
http: //url2png-$YourName.s3- 
= website-us-east-1.amazonaws.com/' + id + '.png'); 


} 
+); 


在 运行 这 段 脚本 之 前 ， 需 要 移 安 装 Node.js 模 块 。 在 终端 中 运行 
npm install 来 完成 依赖 模块 的 安装 。 我 们 将 会 发 现 一 个 名 为 
config.json 的 文件 ， 这 个 文件 需要 修改 。 确 保 将 QueueUr1l 改 为 你 在 本 
示例 开头 创建 的 队列 ， 并 将 Bucket 改 为 ur12png-$YourName 。 


现在 就 可 以 使 用 nodeindex .js 
"http://aws.amazon.com" 来 运行 脚本 了 。 程 序 会 作出 类 似 
于 “PNG will be available soon at http://url2png-$YourName.s3-website-us- 
east-1.amazonaws. com/XYZ.png” 这 样 的 响应 。 要 验证 消 轧 是 否 已 准备 
好 被 使 用 ， 可 以 查询 队列 中 有 多 少 条 消息 : 


$ aws sqs get-queue-attributes \ 
--queue-url $QueueUrl \ 
--attribute-names ApproximateNumberOfMessages 


"Attributes": { 
"ApproximateNumberOfMessages": "1" 


接 下 来 ， 是 时 候 处 理 消 费 消 息 的 工作 进程 了 ， 这 个 处 理 要 完成 生 
成 PNG 文 件 的 所 有 工作 。 


12.2.5 ”程序 化 地 消费 消息 


使 用 SQS 处 理 消 息 需 要 3 个 步骤 。 

(1) 接收 消息 。 

(2) 处 理 消息 。 

(3) 确认 消息 被 成 功 处 理 。 

现在 ， 我 们 就 来 实现 上 述 步 骤 来 将 URL 变 成 PNG 。 
要 从 SQS 队 列 接收 消息 ， 必 须 指定 以 下 内 容 : 


。 队列 。 

E a a 
EF 理 消息 )。 

。 要 从 队列 中 取出 这 条 消息 来 处 理 所 花 的 秒 数 〈 在 这 期 间 ， 还 必须 
从 队列 中 删除 该 消息 ， 否 则 该 消息 将 再 次 被 接收 ) 。 

。 布 望 等 待 接受 消息 的 最 大 秒 数 (从 SQS 接 收 消 息 是 通过 轮 询 API 来 
实现 的 ， 但 是 API 人 允许 的 轮 询 最 长 时 间 是 10 s) 。 


代码 清单 12-8 展 示 了 如 何 使 用 SDK 去 实现 从 队列 接收 一 条 消息 
代码 清单 12-8 workerjs: 从 队列 中 接收 一 条 消息 


fs = require('fs'); 
AWS = require('aws-sdk'); 
webshot = require('webshot'); 
sqs = new AWS.SQS({ 
"region": "us-east-1" 
}); 
var s3 = new AWS.S3({ 
"region": "us-east-1" 


了 


function receive(cb) { 
var params = { 
"QueueUrl": "$QueueUrl", 
"MaxNumberOfMessages": 1, =- -一 次 消费 不 超过 一 条 消息 
"VisibilityTimeout": 120, -- -7120 s P e 
"WaitTimeSeconds": 10 --- 轮 询 10 s 等 待 新 的 消息 
ae 
sqs.receiveMessage(params, function(err, data) { --- 对 SQS 调 
jreceiveMessage 操作 
if (err) { 
cb(err); 
} else { 
if (data.Messages === undefined) { 
cb(null, null); 
} else { 
cb(null, data.Messages[0]); -- -获取 一 条 
} 


} 
p; 
} 


接收 步骤 现 已 经 实现 ， 下 一 步 承 该 是 处 理 消 息 了 ， 如 代码 清单 12- 
9 所 示 。 得 益 于 一 个 名 为 webshot 的 Node.js 模 块 ， 创 建 一 个 网 站 的 屏 
尹 截 图 殉 成 为 一 件 很 容易 的 事 。 


代码 清单 12-9 worker.js: 处 理 六 


息 (得 到 截屏 图 并 上 传 到 S3 上 ) 


x 
dk 
T 


function process(message, cb) { 
var body = JSON.parse(message.Body); ~- -消息 正文 是 一 个 JSON 字符 
串 ， 将 其 转换 为 JavaScript WR 
var file = body.id + '.png'; 
webshot (body.url, file, function(err) { -- -使 用 webshot 模块 创 
建 截屏 图 
if (err) { 
cb(err); 
} else { 
fs.readFile(file, function(err, buf) { ---}] F Hwebshot 模 
块 保存 到 本 地 磁盘 的 截屏 图 
if (err) { 
cb(err); 
} else { 
var params = { 
"Bucket": "url2png-$YourName", 
"Key": file, 
"ACL": "public-read", =- - Ft 生 S3 上 读 取 
"ContentType": "image/png", 
"Body": buf 
}; 
s3.putObject(params, function(err) { 一- -上 传 截图 到 S3 
if (err) { 
cbh(err); 
} else { 
fs.unlink(file, cb); ~-- 从 本 地 磁盘 删除 快照 


} 
}); 
} 


现在 唯一 缺少 的 步骤 就 是 确认 消息 已 经 被 成 功 处 理 。 如 果 收 到 来 
自 SQS 的 消息 ， 就 会 收 到 一 个 ReceiptHandle ， 它 是 一 个 唯一 的 
ID， 从 队列 中 删除 消息 时 必须 指定 它 ， 如 代码 清单 12-10 所 示 。 


èm 


代码 清单 12-10 workerjs: 确认 消息 〈 从 队列 中 删除 消 ， 


function acknowledge(message, cb) { 
var params = { 
"QueueUrl": "$QueueUrl", 
"ReceiptHandle": message.ReceiptHandle «--ReceiptHandle 对 


每 次 收 到 的 消息 是 唯一 的 
}; 


sqs.deleteMessage(params, cb); -- -调用 deleteMessage 操作 


} 


我 们 已 经 有 了 所 有 部 件 ， 现 在 是 时 候 把 它们 连接 起 来 了 ， 如 代码 
清单 12-11 所 示 。 


a3 


代码 清单 12-11 workerjs: ERATA RBA 


function run() { 
receive(function(err, message) { -- -接收 一 条 消息 


if (err) { 
throw err; 
} else { 
if (message === null) { -- -调用 deleteMessage 操作 
console.log('nothing to do'); 
setTimeout(run, 1000); 一- -检查 消息 是 否 可 用 
} else { 
console.log('process'); 


process(message, function(err) { ~- -在 1 s 内 再 次 调用 run 7 


法 
if (err) { 
throw err; 
} else { 
acknowledge(message, function(err) { -- -处 理 消息 确认 消 


if (err) { 
throw err; 
} else { 
console.log('done'); 
setTimeout(run, 1000); ~- -在 1 s 内 再 次 调用 run 方法 
} 
}); 


+); 


run(); = - -调用 run 方法 启动 程序 


现在 ， 我 们 就 可 以 启动 工作 进程 来 处 理 已 在 队列 中 的 消息 了 。 使 
用 node worker .js 来 运行 脚本 ， 应 该 看 到 输出 的 一 些 内 容 ， 说 明 
工作 进程 正 处 在 处 理 步 台 ， 人 然后 就 会 转换 到 完成 状态 。 几 秒 钟 之 后 ， 
截屏 图 应 该 被 上 传 到 S3。 我 们 的 第 一 个 异步 应 用 程序 已 经 完成 。 


我 们 创建 了 一 个 异步 解 厢 的 应 用 程序 。 如 果 URL2PNG 服 务 流行 起 
来 ， 并 且 数 以 百 万 计 的 用 户 开始 使 用 它 ， 那 么 队列 束 会 变 得 越 来 越 
长 。 因 为 你 的 工作 进程 无 法 从 URL 生 成 许多 个 PNG。 很 酷 的 事情 是 ， 
我 们 可 以 增加 尽 可 能 多 的 工作 进程 来 处 理 这 些 消 轧 。 不 是 只 局 动 1 个 工 
作 进 程 ， 而 是 局 动 10 个 或 者 100 个 。 另 一 个 优点 是 ， 如 果 工 作 进程 因 时 
种 原因 终止 ， 那 么 在 2 min 后 ， 正 在 “飞行 ”中 的 消息 将 可 用 于 消费 ， 并 
由 男 一 个 工作 进程 接管 。 这 束 具 有 了 容错 的 特性 ! 如 有 果 将 系统 设计 为 
异步 解 厅 ， 则 系统 易于 扩展 ， 而 且 具 有 民 好 的 容错 基础 。 第 13 章 将 集 


中 讨论 这 个 话题 。 


y as 中 清理 


按照 以 下 的 步骤 删除 消息 队列 : 


$ aws sqs delete-queue --queue-url $QueueUrl 


RY, ABR iis BHR Bl PE Sao ACD Pai, FDR ER 


$YourName : J 


$ aws s3 rb --force s3://url2png-$YourName 


12.2.6 ”SQS 消 息 传 递 的 局 限 性 


本 章 前 面 所 到 了 SQS 的 一 些 局 限 性 。 本 节 将 对 此 进行 更 详细 的 介 


绍 


1. SQS 不 保证 消息 仅 被 传送 一 次 


如 果 在 VisibilityTimeout 期 间 未 能 删除 收 到 的 消息 ， 则 该 消 
息 将 被 再 次 接收 。 这 个 问题 可 以 通过 使 接收 大 等 来 解决 。 才 等 意味 着 
无 论 消 息 的 消费 频率 如 何 ， 结 果 都 保持 不 变 B1 。 在 URL2PNG 示 例 
中 ， 设 计 如 下 : 如 果 多 次 处 理 消 息 ， 则 将 相同 的 图 片上 传 到 S3。 如 果 
图 片 在 S3 上 已 经 可 用 ， 则 会 被 蔡 换 。 虹 等 有 效 解 决 了 分 布 式 系 统 中 的 
许多 问题 ， 保 证 了 消息 至 少 传递 一 次 。 


在 编程 > FE SE PREIE RERE R L ATT E R Sj OT PE R — 
羊 。 一 一 译 者 注 


不 是 所 有 的 东西 都 可 以 做 成 需 等 的 ， 发 送 电 子 邮 件 束 是 一 个 很 好 
的 例子 。 如 采 你 多 次 处 理 邮 件 ， 并 且 每 次 都 会 发 送 一 封 电子 邮件 ， 那 
么 收 件 人 就 会 为 此 而 烦恼 。 作 为 解决 的 方法 ， 你 可 以 使 用 数据 库 跟 中 
目 己 古 否 已 经 发 送 了 这 封 电 子 邮 件 。 


在 很 多 情况 下 ， 至 少 有 一 次 是 很 好 的 权衡 的 结果 。 在 使 用 SQS 之 
前 检查 你 的 要 求 ， 确 认 这 种 权衡 的 处 理 符合 你 的 需求 。 


2. SQS 并 不 保证 消息 的 顺序 


消费 消 恩 可 能 与 生成 消息 的 顺序 不 同 。 如 果 和 需要 疗 格 的 顺序 ， 避 ® 
要 寻找 其 他 方法 了 。SQS 是 容错 和 可 扩展 的 消息 队列 。 但 如 果 需 要 的 
征 稳 定 的 消 轧 顺序， 那么 将 很 难 找到 像 SQS 一 样 具 有 扩展 能 力 的 解决 
方案 。 我 们 的 建议 是 改变 系统 的 设计 ， 使 你 不 再 需要 稳定 的 顺序 或 在 
客户 端 生成 顺序 。 


3. SQS 不 会 取代 消息 代理 


SQS 不 是 一 个 类 似 ActiveMQ 的 消 轧 代理 一 一 SQS 只 是 一 个 消 妃 队 
列 服务 。 不 要 指 鹿 SQS 具 有 消 居 代理 提供 的 功能 。 将 SQS 与 ActiveMQ 


进行 对 比 就 好 像 将 DynamoDB 与 MySQL 进 行 对 比 一 样 由 。 


1419017 年 AWS 发 布 了 基于 Apache ActiveMQ 的 名 为 AmazonMQ 的 新 服务 。 一 一 译 者 注 


12.3 ”小结 


。 解 硝 使 事情 变 得 更 容易 了 ， 因 为 它 减 少 了 依赖 。 

同步 解 硝 需要 双方 同时 使 用 ， 但 双方 彼此 并 不 了 解 对 方 。 

通过 异步 解 耕 ， 可 以 在 不 要 求 双方 可 用 的 情况 下 进行 通信 。 

大 多 数 应 用 程序 可 以 使 用 ELB 提 供 的 负载 均衡 服务 ， 在 不 改变 代 
码 的 情况 下 实现 同步 解 厢 。 

人 负载 均衡 器 可 以 定期 对 你 的 应 用 进行 运行 状况 检查 ， 以 确定 后 端 
征 否 准备 好 处 理 流 量 。 

异步 解 耦 仅 在 异步 处 理 过 程 中 可 用 。 但 是 在 大 多 数 情 况 下 ， 可 以 
将 同步 处 理 修改 为 异步 处 理 。 

。 使 用 SQS 实 现 异 步 解 籼 要 求 使 用 SDK 进 行 编程 。 


第 13 章 ”容错 设计 


本 章 主要 内 容 


。 什 么 是 容错 ， 为 什么 需要 容错 
。 使 用 元 余 消 除 单 点 故障 

。 失败 后 重 试 

。 使 用 寡 等 操作 实现 失败 后 重 试 
。 AWS 服 务 保 证 


做 盘 、 网 络 、 电 源 等 出 现 故 障 是 不 可 避免 的 。 容 错 可 以 解决 这 个 
问题 。 容 错 系统 区 是 为 故障 而 构建 的 。 如 采 发 生 故 障 ， 容 错 系 统 将 不 
会 中 断 ， 并 且 可 以 继续 处 理 请 求 。 如 采 系 统 有 单 点 故障 ， 它 束 不 是 容 
错 的 。 用 户 可 以 通过 在 系统 中 引入 元 余 来 实现 容错 ， 并 通过 将 各 系统 
分 离 ， 使 一 方 不 依赖 男 一 方 ， 从 而 正常 运行 。 


要 使 系统 容错 ， 最 便捷 的 方式 束 是 组 成 容错 模块 系统 。 如 有 宁 所 有 
的 模块 是 容错 ， 那 么 系统 束 是 容错 的 。 许 多 AWS 服 务 默 认 情 况 下 残 是 
容错 ， 尺 可 能 使 用 这 些 服务 。 要 不 然 需 要 目 己 处 理 故 障 。 


遗憾 的 是 ，AWS 其 中 一 个 非常 重要 的 服务 ， 即 EC2， 上 默认 情况 下 
并 不 是 容错 的 。 虚 拟 机 不 是 容错 的 。 这 意味 着 ， 在 默认 情况 下 ， 单 台 
EC2 服 务 不 是 容错 的 。 但 是 AWS 提 供 了 组 件 来 解决 这 个 问题 。 这 个 解 
决 方案 包括 了 自动 扩展 组 (auto-scaling group) 、ELB 和 SQS。 


区 别 各 种 服务 ， 保 证 下 列 要 求 是 非常 重要 的 。 


。 没 有 ( 单 点 故障 ) 一 一 在 出 现 故 障 时 ， 不 能 处 理 请 求 。 
ig ee Wee 
请 求 。 

。 容错 在 出 现 故障 时 ， 请 求 会 像 之 前 一 样 得 到 处 理 ， 并 且 没 有 
任何 可 用 性 问题 。 


以 下 是 本 书 中 涵盖 的 AWS 服 务 的 详细 保证 。 单 点 故障 (SPOF) 意 
味 着 ， 如 一 个 硬件 发 生 故 障 ， 那 么 服务 则 中 断 。 


Amazon EC2 实 例 单个 EC2 可 能 由 于 各 种 原因 而 失败 ， 如 硬件 
故障 、 网 络 问题 、 可 用 区 问题 等 。 然 而 使 用 自动 扩展 组 使 得 一 组 
EC2 以 见 余 的 方式 处 理 请 求 ， 以 实现 高 可 用 性 或 容错 。 
Amazon 关 系数 据 库 服 务 (RDS) 单个 实例 单个 RDS 实 例 失败 
的 原因 有 很 多 ， 如 硬件 故障 、 网 络 问题 、 可 用 性 区 域 问题 等 。 然 
而 使 用 多 可 用 区 模式 部 署 能 实现 高 可 用 性 。 


高 可 用 性 (HA) 意味 着 当 故 障 发 生 时 ， 服 务 在 短 时 间 内 不 可 用 ， 


但 会 目 动 回 到 正常 状态 。 


弹性 网 络 接口 (Elastic Network Interface, END 一 ”网 络 接口 绑 

(AZ) ， 因 此 ， 如 果 可 用 区 不 可 用 ， 那 么 网 络 接口 将 
NGA o 

Amazon 虚 拟 私 有 云 (Virtual Private Cloud, VPC) F ——VPC 

子 网 绑 定 到 一 个 AZ， 因 此 ， 如 果 此 AZ 不 可 用 ， 那 么 子 网 将 天 

闭 。 在 不 同 的 AZ 中 可 以 使 用 多 个 子 网 来 消除 对 单个 AZ 的 依赖 。 

Amazon 弹 性 块 状 存 储 (Elastic Block Store, EBS) % ——EBS% 

绑 定 到 AZ， 如 果 AZ 不 可 用 ， 数 据 卷 将 不 可 用 〈 你 的 数据 不 会 丢 

KR) 。 你 可 以 定期 创建 EBS 快 照 ， 以 便 可 以 在 另 一 个 AZ 中 重新 创 

建 EBS 卷 。 

Amazon 关 系数 据 库 服务 (Relational Database Service, RDS) 多 

可 用 区 实例 在 多 可 用 区 模式 下 运行 时 ， 如 果 主 实例 发 生 故 

障 ， 会 更 改 DNS 记 录 切 换 到 备用 实例 ， 需 要 短暂 的 停机 时 间 (1 


min ) 
容错 意味 着 如 果 发 生 故 障 ， 将 不 会 影响 到 : 


弹性 负载 均衡 (Elastic Load Balancing, ELB) ， 需 要 部 署 到 至 少 
两 个 可 用 区 

Amazon EC2 安 全 组 ; 

带 有 ACL 和 路 由 器 表 的 Amazon 虚 拟 私 有 云 (Virtual Private 
Cloud, VPC) ; 

弹性 IP 地 址 (Elastic IP Adress, EIP) ; 

Amazon 简单 存储 服务 (Simple Storage Service, S3) ; 
Amazon Elastic Block Store (EBS) 快照 

Amazon DynamoDB; 

Amazon CloudWatch; 

目 动 扩展 组 ; 


Amazon Simple Queue Service (SQS) ; 

AWS Elastic Beanstalk; 

AWS OpsWorks; 

AWS CloudFormation; 

AWS 身 份 和 访问 管理 (IAM， 不 绑 定 到 单个 区 域 ， 如果 创 建 IAM 
用 户 ， 该 用 户 在 所 有 区 域 都 可 用 ) ° 


为 什么 要 关心 容错 ? 因为 最 终 容 错 系统 为 终端 用 户 提供 高 质量 的 
服务 。 无 论 系 统 中 发 生 什 么 ， 用 户 都 不 会 受到 影响 ， 可 以 继续 消费 内 
容 ， 购 天 物品 或 与 朋友 区 谈 。 儿 年 前 ， 实 现 容错 是 昂 贯 的 ， 但 在 AWS 
中 ， 提 供 容错 系统 是 一 个 可 负担 的 标准 。 


里 解 以 下 概念 ; 


e EC2 (3%) ; 

。 自动 扩展 (第 11 章 ) ; 
。 弹性 负载 均衡 (第 12 章 ) ; 
。 SQS (第 12 章 
该 示例 大 量 使 用 以 下 内 容 : 


。 Elastic Beanstalk (第 5 章 ) ; 


e DynamoDB (31052) ; 


。 Express, —~Node.js Web 应 用 程序 框架 。 


在 本 章 中 ， 我 们 将 了 解 基于 EC2 实 例 设 计 容错 Web 应 用 程序 所 需 
的 所 有 知识 (默认 情况 下 不 是 容错 的 ) 。 


13.1 使 用 宛 余 EC2 实 例 提高 可 用 性 


值得 一 提 的 是 ，EC2 实 例 本 喘 不 是 容错 的 。 虚 拟 机 下 古 主 机 系统 
(host system) 。 你 的 虚拟 机 可 能 遭受 由 主机 系统 导致 的 骨 浇 ， 主 要 
来 目 以 下 的 几 个 原因 。 


。 如 采 主 机 硬件 出 现 故 障 ， 则 它 无 法 托管 在 其 之 上 的 虚拟 机 。 

。 如果 去 往 (或 者 来 自 ) 主机 的 网 络 连接 中 断 ， 虚 拟 机 也 将 失去 网 
络 通信 的 能 力 。 

如 有 果 主 机 系统 与 电源 断 开 连 返 ， 则 虚拟 机 也 会 天 闭 。 

但 是 在 虚拟 机 上 运行 的 软件 也 可 能 导致 月 手 。 

如 采 软 件 存 在 内 存 诬 漏 ， 内 存 会 被 耗 尽 ， 可 能 是 一 天 、 一 个 月 、 
一 年 或 更 长 时 间 ， 但 最 终 它 会 耗 尽 。 

如 条 软件 将 数据 写 入 到 磁 强 但 从 不 删除 ， 将 最 终 耗 尽 磁盘 空间 。 
应 用 程序 可 能 无 法 正常 边界 情况 ， 也 会 月 并。 

导致 朋 泪 的 原因 ， 无 论 是 主机 还 是 软件 ， 单 个 EC2 实 例 都 是 单 点 


故障 。 如 果 你 依赖 单个 EC2 实 例 ， 你 的 系统 有 可 能 会 朋 冲 一 一 唯一 的 
问题 是 什么 时 候 会 发 生 而 已 。 


13.1.1 ” 宛 余 可 以 去 除 单 点 故障 


SARI HA TAHOE» er EA ZR BLIL AE 
简化 ) 。 


1) 制作 馅 饼 皮 。 

(2) 冷却 馅 饼 皮 。 

(3) 把 泛 松 的 云 馅 饼 的 调料 均匀 地 销 酒 在 馅 饼 皮 上 。 
(4) 冷却 莲 松 的 云 馅 饼 。 

(5) BREMIE 


当前 的 设置 是 单个 生产 线 。 这 个 设置 有 一 个 大 问题 : 当 其 中 一 个 
步 又 崩 演 时 ， 整 个 生产 线 必须 停止 。 图 13-1 说 明了 当 第 二 步 (冷却 馅 


生产 线 1 
将 运 料 均匀 的 
生产 人 馈 饼 皮 冷却 铺 酒 在 馅 饼 皮 上 冷却 MAEM ZF 
冷却 机 器 失效 完整 的 生产 链 断 了 


FL a AN 


图 13-1 单 点 故障 影响 的 不 仅仅 是 自己 本 身 ， 而 是 整个 系统 

为 什么 不 能 有 多 条 生产 线 呢 ?而 不 是 用 一 个 ， 假 设 我 们 有 3 个 。 如 
条 其 中 一 条 线路 出 现 故障 ， 另 外 两 条 线路 仍然 可 以 为 世界 上 所 有 饥 趟 
的 客户 生产 鞍 松 的 云 饮 饼 。 图 13-2 展 示 了 这 一 改进 ， 唯 一 的 缺点 是 ， 
我 们 需要 3 倍 的 机 侨 。 


将 运 料 均匀 的 包装 蓬松 的 
TN 


冷却 铺 酒 在 馅 饼 皮 上 冷却 


加 -一 加 一 “一 器 一 中 


a 
2S 


加 -一 加 一 “一 加 一 全 


图 13-2 ”元 余 消 除 单 点 故障 使 系统 更 加 健壮 


该 例子 也 可 以 用 来 解释 EC2 实 例 。 可 以 有 3 个 实例 运行 软件 ， 而 不 
征 只 有 一 个 EC2 实 例 。 如 采 其 中 一 个 实例 裔 总， 其 他 两 个 实例 仍然 能 
够 处 理 传 入 的 请 求 。 你 还 可 以 最 小 化 一 个 实例 对 3 个 实例 造成 的 成 本 影 
Mel: 可 以 选择 3 个 小 实例 ， 而 不 是 一 个 大 型 EC2 实 例 。 动 态 服务 右 池 出 
现 的 问题 是 ， 如 何 与 实例 通信 ? 答案 是 解 耦 : 在 EC2 实 例 和 请 求 者 之 
间 放 置 人 负载 均 衡器 或 者 消 恩 队列 。 接 下 去 将 了 解 这 十 如 何 工作 的 。 


13.1.2 JRE 


图 13-3 展 示 了 如 何 通 过 见 余 和 同步 解 耦 来 使 得 EC2 达 到 容错 。 如 
果 其 中 一 个 EC2 实 例 朋 并，ELB 将 集 止 同 失败 的 实例 发 送 请 求 。 目 动 
ee ee ei eel 
新 的 实例 上 。 


10.0.0.0/16 


& 10.0.1.0/24 
' 


age 可 用 区 B 中 的 | 


| 可 用 区 A 中 的 
Web 服 务 器 
自动 扩展 组 | 


| ”Web 服 务 器 


图 13-3 ”具有 自动 扩展 组 和 ELB 的 容错 EC2 服 务 器 
再 看 一 下 图 13-3， 看 看 哪些 部 分 是 多 余 的 。 
。 可 用 区 一 一 使 用 两 个 。 如 果 一 个 AZ 朋 演 ， 仍 然 有 EC2 实 例 在 其 他 


AZ 运行 。 
。 子 网 一 一 子 网 隶属 于 AZ。 因 此 ， 在 每 个 AZ 中 需要 一 个 子 网 ， 子 


网 也 是 宛 余 的 。 
。EC2 实 例 一 -EC2 实 例 多 宛 余 。 在 单个 子 网 (AZ) 中 有 多 个 实 
例 ， 在 两 个 子 网 (两 个 AZ) 中 有 实例 。 


图 13-4 展 示 了 使 用 EC2 构 建 的 容错 系统 ， 该 系统 使 用 见 余 和 异步 
解 灰 的 功能 来 处 理 来 目 SQS 队 列 的 消 妃 。 


队列 
&> 10.0.0.0/16 


10.0.1.0/24 LU 10.0.2.0/24 


| 可 用 区 A 中 的 ate 可 用 区 B 中 的 | 
| Web 服务 器 


Web 服 务 器 | 
自动 扩展 组 “eee | 


图 13-4 具有 自动 扩展 组 和 SQS 的 容错 的 EC2 服 务 器 


在 这 两 张 图 中 ， 人 负载 均衡 /SQS 队 列 只 出 现 了 一 个 。 这 并 不 意味 着 
ELB 或 SQS 是 单 点 故障 ;相反 ，ELB 和 SQS 默 认 古 容错 的 。 


13.2 ”使 代码 容错 的 注意 事项 


如 果 想 要 容错 ， 必 须 在 代码 中 实现 它 。 我 们 可 以 通过 遵循 本 节 中 
提出 的 两 个 建议 ， 将 错误 容错 设计 到 代码 中 。 


13.2.1 WHEA, EEEH 


Erlang4atele A AEEA” (let it crash) 这 个 概念 而 闻名 。 这 
! 是 意味 着 每 当 程序 不 知道 该 怎么 做 ， 它 就 衣 演 ， 有 人 需要 处 理 崩 
。 最 常见 的 是 ， 人 们 忽视 了 一 个 事实 ， 即 Erlang 也 是 以 重 试 

etry) 出 名 。 前 总 而 不 重 试 是 无 用 的 一 一 如 果 你 无 法 从 裔 省 的 情况 
恢复 ， 你 的 系统 将 关闭 ， 这 不 是 想 要 的 。 


我 们 可 以 将 * 让 其 朋 溃 ”的 概念 《有些 人 称 之 为 “快速 故障 ”) 应 用 
到 同步 解 夺 和 异步 解 而 场景 。 在 同步 解 籼 场 景 中 ， 请 求 的 发 送 者 必须 
实现 重 试 逻辑 。 如 采 在 一 定时 间 内 没有 返回 啊 应 ， 或 返回 错误 ， 则 发 


Te Ht FRR AR AEA OR ik ° TERROR REER 
易 。 如 末 消 息 被 消耗 但 在 一 定时 间 内 未 被 确认 ， 则 它 返 回 到 队列 。 
ee eee aa 


“让 其 朋 溃 ?在 所 有 情况 下 并 不 是 都 没有 用 。 如 果 程 序 要 响应 告诉 
发 送 方 该 请 求 包 含 无 效 内 容 ， 这 不 是 让 服务 器 般 溃 的 原因 : 结果 将 保 
持 不 变 ， 无 论 你 重 试 多 少 次 。 但 是 ， 如 采 服 务 磊 无 法 到 达 数 据 库 ， 重 
试 很 有 意义 。 在 几 秒 钟 内 ， 数 据 库 可 能 再 次 可 用 ， 并 能 够 成 功 处 理 重 
试 的 请 求 。 

重 试 不 是 那么 容易 。 想 象 一 下 ， 你 想 重 试 一 个 博客 文章 的 创建 。 
每 次 重 试 都 将 创建 数据 库 中 的 一 个 新 条 目 ， 其 中 包含 与 以 前 相同 的 数 
据 。 在 数据 库 中 最 终 有 很 多 重复 。 防 止 这 将 涉及 一 个 重要 的 概念 ， 接 
下 来 将 介绍 : RFE 


13.2.2 ”大 等 重 试 使 得 容错 成 为 可 能 


如 何 防 止 博 客 文 草 由 于 重 试 而 被 多 次 深 加 到 数据 库 ? 一 个 简单 的 
方法 是 使 用 标题 作为 主键 。 如 有 果 主 键 已 经 使 用 ， 你 可 以 假定 该 帖子 已 
经 在 数据 库 中 ， 并 跳 过 将 其 插入 数据 库 的 步 又。 现在 插入 博客 帖子 是 
贬 等 的 ， 这 意味 着 无 论 多 和 频繁 地 应 用 某 个 动作 ， 结 采 必 须 是 相同 
的 。 在 当前 示例 中 ， 结 果 是 数据 库 条 目 。 


让 我 们 笑 试 一 个 更 复杂 的 例子 。 插 入 博客 帖子 在 现实 中 更 复杂 ， 
过 程 看 起 来 像 下 面 这 样 。 


(1) 在 数据 库 中 创建 博客 帖子 条 目 。 
(2) 无 效 缓存 ， 因 为 数据 已 更 改 。 
(3) 发 布 博客 的 Twitter feed 的 链接 。 
让 我 们 仔细 看 一 下 每 一 步 。 


1. 在 数据 库 中 创建 一 个 博客 条 目 


ZHAI RR, PEEP AER (primary 
key) 。 但 是 这 一 次 ， 我 们 使 用 全 局 唯一 标识 符 (UUID) ， 而 不 是 用 
主题 作为 主键 。 一 个 UUID 束 和 像 550e8400-e29b-11d4-a716- 
446655440000 是 一 个 随机 的 ID， 由 客户 端 生 成 。 由 于 UUID 本 身 的 
一 些 特性 ， 不 会 生成 两 个 一 样 的 UUID。 如 果 想 创建 一 个 博客 条 目 ， 必 
须 将 包含 UUID、 主题 和 文本 的 请 求 发 给 ELB。ELB 将 请 求 路 由 到 后 端 
其 中 一 个 实例 上 。 后 端的 实例 检查 主键 是 否 存在 。 如 果 不 存在 ， 数 据 
库 中 将 增加 一 条 新 的 记录 。 如 果 存 在 ， 插 入 束 继 续 。 图 13-5 展 示 了 这 
个 流程 创建 一 个 博客 条 目 对 于 尹 等 操作 是 一 个 很 好 的 例子 。 


带 UUID 的 博客 文章 
应 该 保存 在 数据 库 中 


UUID 已 经 在 数据 库 中 ? 


图 13-5 ”过 等 的 数据 库 插 入 操作 ， 在 数据 库 中 创建 博客 文章 


可 以 使 用 数据 库 来 解决 这 个 问题 。 只 需 发 送 一 个 插入 到 你 的 数据 
库 。 有 以 下 3 件 事 可 能 会 发 生 。 
。 数据 库 插入 数据 。 步 又 成 功 完成 。 
。 数据 库 啊 应 错误 ， 主 键 已 在 使 用 。 步 又 成 功 完成 。 
。 数据 库 以 不 同 的 错误 响应 。 该 步骤 甬 溃 。 


仔细 想 想 实现 项 等 的 最 佳 方 式 ! 


2. 让 缓存 失效 


此 步骤 加 缓存 层 发 送 无 效 消息 。 你 不 需要 担心 太 多 需 等 性 : 如 采 
缓存 比 所 需 的 更 频 索 ， 则 不 会 受到 影响 。 如 采 缓 存 无 效 ， 则 下 一 次 请 
求 命中 缓存 时 ， 缓 存 不 包含 数据 ， 将 查询 源 站 〈 在 这 里 指数 据 库 ) 返 


回 结 有 末 。 然 后 将 结 末 放 入 缓存 中 以 便 后 续 请 求 。 如 果 由 于 重 试 使 缓存 
多 次 失效 ， 最 粳 糕 的 事情 是 需要 再 次 调用 数据 库 。 非 常 测 单 。 


3. 发 送 到 博客 的 Twitter feed 


要 使 此 步骤 贿 等 ， 你 需要 使 用 一 些 技 巧 ， 因 为 你 与 不 文 持 需 等 操 
作 与 第 三 方 区 互 。 壮 憾 的 是 ， 没 有 解决 方案 将 保证 你 只 发 布 一 个 状态 
更 新 到 Twitter 。 你 可 以 保证 创建 是 至 少 有 一 个 〈 一 个 或 多 个 ) 状态 更 
新 ， 或 至 多 一 个 (一 个 或 无 ) 状态 更 新 。 一 个 简单 的 方法 是 向 Twitter 
API 请 求 最 狐 的 状态 更 新 ， 如 有 果 其 中 一 个 匹配 你 要 发 布 的 状态 更 新 ， 
则 跳 过 该 步骤 ， 因 为 它 已 经 完成 。 


但 是 ，Twitter 是 一 个 最 终 一 致 性 的 系统 : 不 能 保证 你 发 布 后 立即 
看 到 状态 更 新 。 你 可 以 最 终 发 布 多 次 状态 更 新 。 另 一 种 方法 是 在 数据 
库 中 保存 是 否 已 经 发 布 了 博客 帖子 状态 更 新 。 但 想象 一 下 ， 保 存 到 你 
发 布 到 Twitter 的 数据 库 ， 然 后 同 Twitter API 发 出 请 求 ， 但 刚好 那 一 
刻 ， 系 统 拓 省。 数据 库 提 示 说 Twitter 的 状态 更 新 已 发 布 ， 但 实际 情况 
却 不 是 。 你 需要 做 出 选择 : 允许 丢失 状态 更 新 ， 或 者 允许 多 个 状态 更 
新 。 提 示 : 这 是 一 个 商业 决策 。 图 13-6 展 示 了 两 种 解决 方案 的 流程 。 


解决 方案 1 解决 方案 2 
共享 Twitter 共享 Twitter 
状态 更 新 状态 更 新 
询问 Twitter 状 态 更 新 询问 数据 库 是 否 已 经 
是 否 已 经 存在 通过 Twitter 共 享 帖子 


图 13-6” 寡 等 的 Twitter 状态 更 新 : 如 果 它 还 没有 完成 ， 只 共享 状态 更 新 


举 个 例 于 ， 我 们 将 在 AWS 上 设计 、 实 施 和 部 署 分 布 式 容错 Web 应 
用 程序 。 这 个 例子 将 纱 合 本 书 中 的 大 部 分 知识 ， 演 示 分 布 式 系统 的 工 


人 方式 


13.3 ”构建 容错 Web 应 用 : Imagery 


在 开始 架构 和 设计 容错 的 Imagery Web 应 用 之 前 ， 我 们 将 简要 介绍 
应 用 程序 最 后 应 该 做 什么 。 用 户 应 该 能 够 上 传 图 片 ， 然 后 这 个 图 请 用 
深 神色 过 滤 郁 转换 ， 使 其 看 起 来 变 旧 。 用 户 可 以 查看 深 褐色 图 片 。 
13-7 展 示 了 这 一 过 程 。 


Imagery 上 传 
文件 浏览 WR ; 
D 


用 户 上 传 一 张 图 片 过 滤器 应 用 到 图 片 ， 上 传 结果 
图 片 ， 可 通过 互联 网 访问 


图 13-7 用 户 上 传 图 片 到 Imagery， 其 中 应 用 了 过 滤器 


图 13-7 展 示 了 这 一 过 程 的 问题 一 它 是 同步 的 。 如 果 服务 器 在 请 
求 和 响应 期 间 死机 ， 则 不 会 处 理 用 户 的 图 片 。 在 许多 用 户 想 要 使 用 
Imagery 应 用 程序 时 会 出 现 另 一 个 问题 ， 系 统 变 得 很 繁忙 ， 可 能 会 变 慢 
或 停止 工作 。 因 此 ， 这 个 过 程 应 该 变 成 异步 的 。 第 12 章 通过 使 用 SQS 
消息 队列 介绍 了 异步 解 耦 的 思想 ， 如 图 13-8 所 示 。 


Ga’ Se 
Sa — ç , gao 
a elib B 


消息 生产 者 P ~ 消息 消费 者 
队列 尾 队列 头 


图 13-8 ”生产 者 发 送 消 息 到 消息 队列 ， 消 费 者 读 取 消息 


当 设 计 和 异步 过 程 时 ， 过 程 的 跟踪 非常 重要 。 我 们 需要 一 些 类 型 的 
标识 簿 。 当 用 户 想 要 上 传 图 片 时 ， 用 户 首 先 创建 进程 。 此 进程 创建 会 
返回 唯一 的 ID 。 使 用 ID ， 用 户 能 够 上 传 图 片 。 如 有 果 图 片上 传 完 成 ， 服 
务 器 开始 在 后 全 处 理 图 片 。 用 户 可 以 随时 查找 进程 。 处 理 图 片 时 ， 用 


户 看 不 到 次 神色 图 片 。 但 是 一 旦 图 片 被 处 理 ， 碍 找 进 程 返 回 深 神色 图 
刻 。 图 13-9 展 示 了 异步 过 程 。 


现在 我 们 有 一 个 异步 过 程 ， 是 时 候 把 组 件 映 射 到 AWS 服 务 上 去 
了 。 请 记 住 ，AWS 上 的 大 多 数 服 务 默认 情况 下 都 是 容错 的 ， 因 此 尽 可 
能 使 用 它们 。 图 13-10 展 示 了 一 种 方法 。 


为 了 使 事情 尽 可 能 简单 ， 所 有 操作 都 可 以 通过 REST API 来 访问 ， 
REST API 将 由 EC2 实 例 提 供 。 最 后 ，EC2 实 例 将 提供 进程 并 调用 所 有 
AWS 服 务 ， 如 图 13-10 所 示 。 


用 户 创建 一 个 图 片 进 程 ， 用 户 上 传 图 片 至 通过 用 户 等 待 ， 直 到 图 片 用 户 最 终 可 以 通过 ID 


获得 返回 的 ID ID 识 别 的 进程 被 异步 处 理 访问 深 褐色 图 片 
1. 创建 4. 等 待 


CD 


一 个 工作 进程 开始 处 理 图 片 ， 在 
处 理 过 程 中 使 用 深 褐色 的 过 滤器 


图 13-9 用户 异步 上 传 图 片 至 Imagery， 其 中 应 用 了 过 滤器 


上 用 进程 ID， 用 户 上 传 图 片 到 S3。 
用 户 通过 唯一 的 ID S3 的 刍 与 新 的 进程 状态 ,plouded DynamoDB 包 含 了 进程 
创建 进程 ， 进 程 存 ”一 起 保留 到 DynamoDB。 产 生 SQS AMRS. FERS 。 S3 包 含 了 深 褐 色 图 片 ， 


储 在 DynamoDB 消息 以 触发 处 理 切换 为 “processed” DynamoDB 知 道 S3 的 
1. 创建 2. 上 传 4. 等 待 5. 查看 
E> <= 
e ẹ T w 
H] S3 S3 
用 户 DynamoDB DynamoDB (= 
DynamoDB SQS DynamoDB 
3. 处 理 
Iil SQS EC2 
a © 盏 
DynamoDB S3 


< 


SQS 消 息 被 EC2 实 例 消费 。 原 始 消 息 从 S3 上 下 载 并 处 理 ， 并 且 深 褐色 图 片 被 
上 传 到 S3，DynamoDB 更 新 为 “processed” 状 态 和 深 褐色 图 片 S3 的 键 


图 13-10 组合 AWS 服 务实 现 异步 Imagery 过 程 


我 们 将 使 用 许 多 AWS 服 务 来 实现 Imagery 应 用 程序 。 它 们 中 的 大 多 
数 在 默认 情况 下 是 容错 的 ， 但 EC2 不 是 。 PRE BE A Fie SPIE Fr SOL 
(image-state machine) 来 处 理 这 个 问题 ， 图 片 状态 机 会 在 下 一 节 介 


本 章 中 的 所 有 示例 都 包含 在 免费 套餐 中 。 只 要 不 是 运行 这 些 示例 好 几 天 ， 就 不 需要 文 
付 任何 费 月 主 ， 这 仅 适 用 于 读者 为 学 习 本 书 刚 刚 创建 的 全 新 AWS 账 户 ， 并 且 在 这 个 
其 他 活动 。 尽 量 在 几 天 的 时 间 j 里 完成 本 章 中 的 示例 ， 在 每 个 示例 完成 后 务 


F 发 名 为 Lambda 的 服务 。 使 用 Lambda， 你 可 以 将 代码 函数 上 传 到 AWS， 然 
后 在 AWS ERUS AES © 你 不 需要 再 维护 EC2 实 例 ， 只 需要 关心 代码 。AWS Lambda F 
短 时 间 运 行进 程 (最 多 60 s) ， 因 此 不 能 使 用 Lambda 创 建 Web 服 务 器 。 但 是 AWS 将 提供 许 
多 集成 钩子 (hook) 。 例 如 ， 每 当 一 个 对 象 被 添加 到 S3 时 ，AWS 束 可 以 触发 一 个 Lambda 画 
数 ， 或 者 当 新 消息 到 达 SQS 时 触发 Lambda 函 数 。 遗 憾 的 是 ，AWS Lambda 在 编写 本 书 时 并 


用 于 AWS 所 有 地 区 ， 因 此 我 们 决定 不 包括 此 服务 的 介绍 。 


Amazon API 网 关 使 你 能 够 运行 REST API， 而 无 须 运 行 任 何 EC2 实 例 。 你 可 以 指定 每 当 
收 到 GET/ some/resource 请 求 时 ， 它 将 触发 一 个 Lambda 函 数 。Lambda 和 Amazon API 
a 无 须 维 所 单个 EC2 实 例 。 遗 憾 的 是 ， 在 本 书 编 写 时 ， 


Amazon API Gateway 并 不 适用 于 所 有 地 区 


13.3.1 FSA ARAL 


PFRI. (image-state machine) 听 起 来 很 复杂 。 我 们 需 
要 花 一 些 时 间 来 解释 它 ， 因 为 它 是 Imagery 应 用 程序 的 核心 。 让 我 们 来 
看 一 下 什么 是 状态 机 ， 在 这 个 上 下 文中 什么 是 震 等 o 


1. 有 限 状态 机 


状态 机 具有 至 少 一 个 开始 状态 和 一 个 结束 状态 (这 里 讨论 的 是 有 
限 状 态 机 ) 。 在 开始 状态 和 结束 状态 之 间 ， 状 态 机 可 以 具有 许多 其 他 
ooo 还 定义 状态 之 则 的 转换 。 例 如 ， 具 有 3 个 状态 的 状态 机 可 能 
H 不 : 


(A) -> (B) -> (C). 


状态 A 是 开始 状态 ; 
过 渡 从 状态 A 到 B; 
wie 从 状态 B 到 Ci 

状态 C 是 结束 状态 。 


但 是 在 (A) > (C)BK(B) > (A) 之 间 没 有 可 能 的 转换 ，Imagery 状 态 机 
看 起 来 像 下 面 这 样 : 


(Created)-> (Uploaded)-> (Processed) 


创建 了 新 进程 (状态 机 ) 之 后 ， 唯 一 的 转换 可 能 就 是 Uploaded 
o 要 进行 此 转换 ， 需 要 上 传 的 原始 图 片 的 S3 键 。Created 到 
Uploaded 的 转换 可 以 通过 uploaded(s3Key ) 定义 。 基 本 上 ， 这 个 
过 渡 同 样 适 用 于 Uploaded 到 Processed 的 转换 。 这 个 转换 可 以 用 
深 褐色 图 片 的 S3 键 来 完成 : processed(s3Key) ° 


不 要 混淆 ， 因 为 上 传 和 图 片 过 滤 处 理 不 会 出 现在 状态 机 中 。 这 些 
是 发 生 的 基本 动作 ， 但 我 们 只 对 结果 感 兴趣 ， 我 们 不 跟踪 行动 的 进 
展 。 该 过 程 不 清楚 10% 的 数据 已 上 传 或 30% 的 图 片 完成 处 理 。 它 只 关 
心 操作 是 否 100% 完 成 。 我 们 可 以 想象 一 堆 可 以 实现 的 其 他 状态 ， 但 这 
个 例子 中 略 过 ， 只 介绍 调整 大 小 (Resized ) 和 共享 (Shared) 两 
dw 


2. 大 等 状态 转换 


无 论 转换 发 生 的 频率 如 何 ， 才 等 状态 较 换 都 必须 具有 相同 的 结 
条 。 如 条 知道 状态 转换 是 大 等 的 ， 可 以 使 用 这 样 一 个 简单 的 技巧 : 在 
转换 过 程 中 失败 的 情况 下 ， 重 试 整个 状态 转换 。 


接 下 去 看 看 需要 实现 的 两 个 状态 转换 。 第 一 个 转换 Created 到 
Uploaded 可 以 像 下 面 这 样 实现 〈 伪 代码 ) : 


uploaded(s3Key) { 
process = DynamoDB.getItem(processId) 
if (process.state !== "Created") { 
throw new Error("transition not allowed") 


DynamoDB.updateItem(processId, {"state": "Uploaded", "rawS3Key": 
s3Key}) 


SQS.sendMessage({"processId": processId, "action": "process"}); 
g p p 


} 


这 个 实现 的 问题 是 它 不 是 需 等 的 。 想 象 一 下 ， 
SQS.sendMessage 失败 了 。 如 果 重 试 ， 状 态 转换 将 失败 。 但 第 二 次 
调用 Uploaded(s3Key) 将 抛 出 一 个 “transition not allowed” fa tx, 
为 DynamoDB .updateItem 在 第 一 次 调用 期 间 成 功 。 


为 了 解决 这 个 问题 ， 需 要 更 改 if ra AE EE : 


uploaded(s3Key) { 
process = DynamoDB.getItem(processId) 
if (process.state !== "Created" && process.state !== "Uploaded" ) 


throw new Error("transition not allowed") 


DynamoDB.updateItem(processId, {"state": "Uploaded", "rawS3Key": 
s3Key}) 


SQS.sendMessage({"processId": processId, "action": "process"}); 


如 果 现 在 重 试 ， 将 对 DynamoDB 进 行 多 次 更 新 ， 这 不 会 受到 影 
啊 。 并 且 可 以 发 送 多 个 SQS 消 肯 ， 这 也 不 会 受到 影响 ， 因 为 SQS 消 轧 
消费 者 也 必须 是 宫 等 的 。 这 同样 适用 于 转换 “Uploaded 
”为 “Processed”。 


接 下 来 ， 我 们 将 开始 实施 Imagery 服 务 器 。 
13.3.2 ”实现 容错 Web 服 务 


将 Imagery 应 用 程序 分 为 两 部 分 ， 服务 器 和 工作 程序 。 服 务 左 负责 
Pi 户 提供 REST API， 工 作 程 序 负责 处 理 消耗 的 SQS 消 轧 和 处 理 映 


EME Pe 


像 之 前 一 样 ， 在 下 载 的 源 代码 中 可 以 找到 相关 代码 ， 图 片 位 于 chapter13 中 。 


服务 絮 将 支持 以 下 路 由 。 


。 POST /image 一 一 当 执 行 这 个 路 由 ， 一 个 新 的 图 片 进程 被 创 
建 O 
e GET /image/ :id 一 一 返回 进程 状态 ， 由 路 径 参 数 :id 指定 。 


e POST /image/:id/upload 一 此 路 由 为 使 用 path 参数 指定 
的 :id 进程 提供 文件 上 载 。 


要 实现 这 一 服务 ， 会 再 次 用 到 Node.js 和 Express Web 应 用 程序 框 
架 。 在 这 个 项 目 中 只 会 使 用 到 Express 框 架 ， 因 此 不 会 觉得 麻烦 。 


1. 设置 服务 器 项 目 


和 往 明 一样 ， 需 要 一 些 样 例 代 码 来 加 载 依赖 ， 初 始 AWS 端 点 以 及 
类 似 的 东西 ， 如 代码 清单 13-1 所 示 。 


代码 清单 13-1 初始 化 Imagery 服 务 (server/server.js) 


express = require('express'); ~- -加 载 Node .js 模块 (依赖) 
bodyParser = require('body-parser'); 

AWS = require('aws-sdk'); 

uuid = require('node-uuid'); 

multiparty = require('multiparty'); 


db = new AWS.DynamoDB( { <- -创建 DynamoDB 端点 

"region": "us-east-1" 

}); | 

var sqs = new AWS.SQS({ -- -创建 SQS 端点 
"region": "us-east-1" 

3); l 

var s3 = new AWS.S3({ =- -创建 S3 端点 
"region": "us-east-1" 

+); 

var app = express(); -- -创建 Express 应 用 


app.use(bodyParser.json()); -- -告诉 Express 解析 请 求 主 


[Lad 
app.listen(process.env.PORT || 8080, function() { 
PORT 上 启动 Express， 默 认 端 口 是 8080 
console.log("Server started. Open http://localhost:" 
+ (process.env.PORT || 8080) + " with browser."); 


+); 
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2. 创建 一 个 新 的 Imagery 进 程 


为 了 提供 REST AMI 来 创建 图 片 进程 ， 一 组 EC2 实 例 在 负载 均衡 句 
后 运行 Node.js 代 码 。 图 片 进程 存储 在 DynamoDB 中 。 图 13-11 展 示 了 创 
建 狐 的 图 片 的 请 求 流程 。 


用 户 发 送 POST /image 请 求 ， 在 DynamoDB 表 中 
用 户 在 返回 中 得 到 进程 ID 执行 Node.js 代 码 添加 项 目 
于 一 一 电 一 一 便 


用 户 ELB 运行 在 自动 扩展 组 中 的 EC2 实 例 DynamoDB 


ELB 将 请 求 分 发 给 其 中 一 个 EC2 实 例 


图 13-11 在 Imagery 中 创建 一 个 新 图 片 的 流程 


我 们 现在 在 Express 应 用 中 增加 路 由 来 处 理 POST/image 请 求 ， 如 
代码 清单 13-2 所 示 。 


代码 清单 13-2 ”Imagery 服 务 : POST /image 创 建 图 片 流 程 


app.post('/image', function(request, response) { -- -在 Express 
中 注册 路 由 
var id = uuid.v4(); -- -为 进程 创建 一 个 唯一 ID 
db.putItem({ ~- -对 DynamoDB 调用 putItem 操作 
"Item": { 
migra { 
"s": id ---id 属性 是 DynamoDB 的 主键 
ty 
"version": { 
"N": "o" =- -使 用 乐观 锁定 的 版 本 〈 乐 观 锁定 在 下 面 会 有 解释 ) 
ty 
"state": { 
"Ss": "created" 一- -进程 现在 处 于 创建 状态 ， 当 状态 更 换 发 生 时 这 一 属 
性 会 变化 
} 
"TableName": "imagery-image", ---DynamoDB 表 在 本 章 的 后 面 会 创建 
"ConditionExpression": "attribute_not_exists(id)" 
}, function(err, data) { -- -如 果 项 已 经 存在 就 阻止 奉 换 


throw err; 


} else { 


response.json({"id": id, "state": "created"}); 一- -以 进程 ID 
作为 响应 


现在 可 以 创建 一 个 新 进程 了 。 


Me e 


要 防止 对 DynamoDB 项 目 进行 多 次 更 新 ， 可 以 使 用 名 为 乐观 锁定 (optimistic locking) 
的 技巧 。 当 你 要 更 新 项 目 时 ， 必 须 告 知 要 更 新 的 版 本 。 如 果 该 版 本 与 数据 库 中 项 目的 当前 
版 本 不 匹配 ， 则 更 新 将 被 拒绝 。 


想象 以 下 场景 。 在 版 本 0 中 创建 一 个 项 目 。 进 程 A 查 找 该 项 目 (版 本 0) 。 进 程 B 也 查找 
该 项 目 。 现在， 进程 A 想 通 过 在 DynamoDB 上 调用 updateItenm 操作 来 进行 更 
改 。 因 此 ， 进 程 A 指定 预期 版 本 为 0。 DynamoDB 因 为 版 本 匹配 将 允许 修改 ， 但 DynamoDB 
也 会 将 项 目的 版 本 更 改 为 1， 因 为 执行 了 更 新 。 现 在 ， 进 程 B 想 进行 修改 ， 并 向 DynamoDB 
发 送 请 求 ， 期 望 项 目 版 本 为 0。 DynamoDB 将 拒绝 该 修改 ， 因 为 预期 版 本 与 DynamoDB 知 道 


要 解决 进程 B 的 问题 ， 可 以 使 用 前 面 介绍 的 同样 的 技巧 一 一 重 试 。 进 程 B 将 再 次 查找 该 
项 目 ， 现 在 在 版 本 1 中 ， 并 且 可 以 (你 希望 ) 进行 更 改 。 


乐观 锁定 有 一 个 问题 : 如 果 许 多 修改 并 行 发 生 ， 则 会 产生 很 多 开销 ， 因 为 重 试 的 次 数 
很 多 。 但 是 这 只 是 一 个 问题 ， 如 果 你 期 望 大 量 并 发 写 入 单个 项 目 ， 这 可 以 通过 更 改 数据 模 
型 解决 。Imagery 应 用 程序 中 不 是 这 样 > 只 有 少数 写 入 预期 发 生 在 一 个 单 的 项 目 :， 乐观 锁 
定 是 一 个 完美 的 适合 ， 以 确保 你 没有 两 个 写 入 ， 其 中 一 个 操作 会 覆盖 另 一 个 更 改 。 


乐观 锁定 的 相反 是 悲观 锁定 。 可 以 通过 使 用 信和 号 量 来 实现 悲观 锁 策略 。 在 更 改 数据 之 
前 ， 需 要 锁定 信号 量 。 如 果 信 号 量 已 经 被 锁定 ， 则 等 待 信号 量 再 次 变 空 。 


我 们 需要 实现 的 下 一 个 路 由 是 查找 进程 的 当前 状态 。 
3 . 查找 Imagery 进 程 


我 们 现在 增加 路 由 到 Express 应 用 中 来 处 理 GET /image/:id 请 
求 。 图 13-12 展 示 了 这 一 请 求 流程 。 


用 户 发 送 一 个 从 DynamoDB 表 
GET /image/:id 请 求 执行 Node.js 代 码 中 得 到 一 项 


用 户 ELB 


运行 在 自动 扩展 组 中 的 EC2 实 例 DynamoDB 
ELB 将 请 求 分 发 给 其 中 一 个 EC2 实 例 


图 13-12 ”在 Imagery 中 查看 图 片 进程 返回 状态 


Express 将 通过 在 request . params. id 中 提供 它 来 处 理 路 径 参 
数 :id。 这 一 实现 需要 基于 路 径 参数 ID 从 DynamoDB 获 取 项 目 ， 如 代 
码 清 单 13-3 所 示 。 


代码 清单 13-3”Imagery 服 务 器 : GET /image/:id 查找 图 片 进程 


function mapImage(item) { -- -辅助 函数 将 DynamoDB 结果 映射 到 
JavaScript 对 象 
return { 


"id": item.id.S, 

"version": parseInt(item.version.N, 10), 
"state": item.state.S, 

"rawS3Key": [...] 

"processedS3Key": [...] 
"processedImage": [...] 


}; 
}; 
function getImage(id, cb) { 
db.getItem({ -- -对 DynamoDB 调用 getItem 操作 
"Key": { 
"id": { ---id 是 主键 散 列 值 
ao") ‘Td 
} 
ty 
"TableName": "imagery-image" 
}, function(err, data) { 
if (err) { 
cb(err); 
} else { 


if (data.Item) { 
cb(null, mapImage(data.Item) ); 
} else { 


cb(new Error("image not found")); 
} 
} 
}); 


app.get('/image/:id', function(request, response) { 一- -使 用 
Express 注册 路 由 
getImage(request.params.id, function(err, image) { 
if (err) { 
throw err; 
} else { 
response. json(image); -- -以 ijmage 进程 来 响应 


唯一 缺少 的 是 上 传 部 分 ， 接 下 来 看 一 下 上 传 。 


4. 上 传 图 片 


通过 POST 请 求 上 传 图 片 需要 执行 以 下 几 个 步骤 。 
(1) 将 原始 图 片上 传 到 S3。 

(2) 修改 DynamoDB 的 项 目 。 

(3) 发 送 SQS 消 息 触 发 图 片 处 理 。 

图 13-13 展 示 了 这 一 工作 流 。 


用 户 发 送 POST /image/: 


id/upload 请 求 ag“ js 代码 在 Ne 
G@ 一 帅 一 吾 
T es € ¢ 
AP ELB 运行 在 自动 扩展 组 中 的 EC2 实 例 S3 DynamoDB 
ELB 将 请 求 分 发 给 其 中 一 台 EC2 实 例 原始 图 片 存储 在 S3 中 通过 工作 进程 发 送 SQS 
消息 来 触发 图 片 处 理 


图 13-13 ”上 传 原始 图 片 到 Imagery 来 触发 图 片 处 理 


代码 清单 13-4 展 示 了 这 些 步 又 的 具体 实现 。 


代码 清单 13-4 Imagery 服 务 器 : POST /image/:id/upload 上 传 图 片 


function uploadImage(image, part, response) { 


var rawS3Key = 'upload/' + image.id + '-' + Date.now(); 一 - -为 
S3 对 象 创建 一 个 键 
s3.putobject({ -- -对 S3 调用 putobject 
"Bucket": process.env.ImageBucket, =- -S3 桶 名 作为 环境 变量 传 入 
《该 桶 将 在 本 章 后 面部 分 中 创建 ) 


"Key": rawS3Key, 
"Body": part, =- -Body 部 分 是 上 传 的 数据 流 
"ContentLength": part.byteCount 
}, function(err, data) { 
if (err) { 
throw err; 
} else { 
db.updateItem({ ---%{Dynamodb 调用 updateItem 
"Key" g { 
"iq" s { 
"S"; image.id 
} 
ty 


"UpdateExpression": "SET #Ss=:newState, 二 - -更 新 状态 、 版 本 和 
原始 S3 密 钥 
= Version=:newVersion, rawS3Key=:rawS3Key", 
"ConditionExpression": "attribute_exists(id) -- -XMH 
存在 、 版 本 等 于 预期 版 本 且 状 态 是 允许 的 状态 之 一 时 更 新 
= AND version=:oldVersion 
= AND #s IN (:stateCreated, :stateUploaded)", 
"ExpressionAttributeNames": { 

i = ee "state" 
ty 


"ExpressionAttributeValues": { 
":newState": { 


"S": "uploaded" 


ty 
":oldVersion": { 
"N": image.version.toString() 
ty 
":newVersion": { 
"N": (image.version + 1).toString() 
}, 


":rawS3Key": { 
"S": rawS3Key 
ty 


":stateCreated": { 
"S"; "created" 

ty 

":stateUploaded": { 
"S": "uploaded" 


} 
ty 
"ReturnValues": "ALL NEW", 
"TableName": "imagery-image" 
}, function(err, data) { 
if (err) { 
throw err; 
} else { 
sqs.sendMessage({ ---%{SQS 调用 sendMessage 
"MessageBody": JSON.stringify({ 
"imagelId": image.id, 
"desiredState": "processed" -- -消息 包含 
进程 ID 
}), 
"QueueUr1": process.env.ImageQueue, 一 - -队列 URL 通过 环 
境 变量 传递 
}, function(err) { 
if (err) { 
throw err; 
} else { 
response.json(lib.mapImage(data.Attributes) ); 
} 
}); 
} 
}); 
} 
}); 
} 
app.post('/image/:id/upload', function(request, response) { 一 - 
-使 用 Express 注 册 路 由 
getImage(request.params.id, function(err, image) { 
if (err) { 
throw err; 
} else { 
var form = new multiparty.Form(); a -“ 魔法 代码 ”处 理 图 片上 传 


form.on('part', function(part) { 
uploadImage(image, part, response); 
+); 
form.parse(request ); 
} 
p); 


}); 
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13.3.3 ”实现 容错 的 工作 进程 来 消费 SQS 消 息 


Imagery 工 作 进程 在 后 侣 执行 异步 的 工作 : 在 应 用 过 滤器 的 同时 将 
图 片 处 理 为 深 神色。 工作 程序 处 理 消耗 的 SQS 消 恩 和 处 理 图 片 。 洱 运 
的 是 ， 消 耗 SQS 消 息 是 Elastic Beanstalk 解 决 的 常见 任务 ， 稍 后 将 使 用 
它 来 部 署 应 用 程序 。Elastic Beanstalk 可 以 配置 为 侦 昕 SQS 消 息 并 对 每 
个 消 居 执行 HTTP POST 请 求 。 最 后 ， 工 作 程 序 实现 了 由 Elastic 
Beanstalk 调 用 的 REST API。 要 实现 工作 进程 ， 你 将 再 次 使 用 Node.js 和 
Express 框 架 2 


1. 设置 服务 器 项 目 


如 代码 清单 13-5 所 示 ， 与 以 往 一 样 ， 需 要 样 例 代码 来 加 载 依赖 天 
系 、 初 始 化 AWS 端 点 等 


SF 


213-5 ”初始 化 Imagery 工 作 进 程 (worker/worker.js) 


m 


var express = require('express'); -- -加 载 N\ode .js 模块 (依赖 ) 
var bodyParser = require('body-parser'); 

var AWS = require('aws-sdk'); 

var assert = require('assert-plus'); 

var Caman = require('caman').Caman; 

var fs = require('fs'); 


var db = new AWS.DynamoDB({ -- -创建 DynamoDB 端点 
"region": "us-east-1" 

3); 

var s3 = new AWS.S3({ =- -创建 S3 端点 
"region": "us-east-1" 

}); 

var app = express(); <- -创建 Express 应 用 


app.use(bodyParser.json()); 


app.get('/', function(request, response) { =- -注册 返回 空 对 象 的 健 
康 状态 检查 的 路 由 
response. json({}); 


}); 
[...] 


app.listen(process.env.PORT || 8080, function() { —- -在 由 环境 变 
SPORT 定义 的 端口 或 者 默认 端口 8080 上 启动 Express 

console.log("Worker started on port " + (process.env.PORT | | 
8080) ); 
}); 


i Node.js 模 块 caman 用 于 创建 深 褐 色 图 片 ， 接 下 来 我 们 会 用 到 这 
| O 


2. 处 理 SQS 消 息 和 处 理 图 片 


SQS 消 息 触发 原始 图 片 处 理 ， 这 由 工作 进程 控制 。 一 旦 接收 到 消 
息 ， 工 作 进 程 开始 从 S3 下 载 原始 图 片 ， 应 用 深 褐 色 过 滤器 ， 并 将 处 理 
的 图 片上 传 回 S3。 之 后 ，DynamoDB 中 的 处 理 状态 将 被 修改 。 图 13-14 
展示 了 这 些 步骤 。 


= 从 S3 下 载 原始 图 片 
a 


执行 Node.js 代 码 


应 


在 DynamoDB 中 更 
新 进程 的 状态 


/ 
一 入 


| 
Iil 


SQS 运行 在 自动 扩展 组 DynamoDB 
中 的 EC2 实 例 
通过 工作 进程 发 送 SQS 深 褐色 图 片 存储 在 S3 中 
消息 来 触发 图 片 处 理 


图 13-14 ”处 理 原 始 图 片 ， 将 深 神色 图 片上 传 到 S3 


如 果 不 直接 从 SQS 接 收 请 四 ， 可 以 采取 一 个 捷径 。Elastic 
Beanstalk 是 将 要 使 用 的 部 署 工 具 ， 它 提供 了 消费 队列 中 消 恩 的 功能 ， 


并 为 每 个 消息 调用 HTTP POST 请 求 。 配 置 对 资源 /sqs 进行 的 POST 
请 求 。 代 码 清单 13-6 展 示 了 具体 实现 。 


代码 清单 13-6 ”Imagery 工 作 进 程 ， POST /sqs 处 理 SQS 消 息 


function processImage(image, cb) { «--processImag 的 实现 在 这 里 没 
有 展示 ， 可 以 在 本 书 的 源 文 件 夹 中 找到 

var processedS3Key = 'processed/' + image.id + '-' + Date.now() 
+ :png 


// download raw image from S3 
// process image 
// upload sepia image to S3 
cb(null, processedS3Key); 

} 


function processed(image, request, response) { 
processImage(image, function(err, processedS3Key) { 
if (err) { 
throw err; 
} else { 
db.updateItem({ ---XľDynamoDB 调用 updateItem 探 作 
"Key" Ë { 
"id" g { 
"S"; image.id 
} 
ty 
"UpdateExpression": "SET #S=:newState, <- -更 新 状态 、 版 本 和 
己 处 理 的 S3 键 
= version=:newVersion, processedS3Key=:processedS3Key", 
"ConditionExpression": "attribute_exists(id) -- -5m H 
存在 、 版 本 等 于 预期 版 本 且 状 态 是 允许 的 状态 之 一 时 更 新 
= AND version=:oldVersion 
= AND #s IN (:stateUploaded, :stateProcessed)", 
"ExpressionAttributeNames": { 
"Hsi "state" 
ty 
"ExpressionAttributeValues": { 
":newState": { 
"S": "processed" 
ty 
":oldVersion": { 
"N": image.version.toString( ) 
ty 
":newVersion": { 
"N": (image.version + 1).toString() 


ty 


":processedS3Key": { 
"S"; processedS3kKey 

ty 

":stateUploaded": { 
"S": "uploaded" 


ty 
":stateProcessed": { 
"S"; "processed" 
} 
ty 
"ReturnValues": "ALL NEW", 
"TableName": "imagery-image" 
}, function(err, data) { 
if (err) { 
throw err; 
} else { 
response. json(lib.mapImage(data.Attributes) ); 一- -以 进程 
的 新 状态 作为 响应 
} 
}); 
} 
}); 
} 
app.post('/sqs', function(request, response) { -- -使 用 Express 
注册 路 由 


assert.string(request.body.imageId, "imageId"); 
assert.string(request.body.desiredState, "desiredState"); 
getImage(request.body.imageId, function(err, image) { 一 - - 
getImage 的 实现 与 服务 器 上 的 相同 
if (err) { 
throw err; 
} else { 
if (request.body.desiredState === 'processed') { 
processed(image, request, response); -- -如 果 SQS 消息 的 
disired State 是 “processed"， 调 用 processed 函 数 
} else { 
throw new Error("unsupported desiredState"); 


} 


reallly 


如 果 POST/sqs 返回 2XX 的 HITP 状 态 码 ，Elastic Beanstalk 会 认为 
消息 传递 成 功 ， 并 从 队列 中 删除 消息 ， 否 则 消息 重新 提交 。 


现在 可 以 处 理 SQS 消 妃 来 处 理 原 始 图 片 ， 并 将 深 神 色 图 片上 传 到 
S3。 接 下 去 是 以 容错 方式 将 所 有 代码 部 署 到 AWS 。 


13.3.4 ”部 署 应 用 


如 之 前 所 述 的 ， 将 使 用 Elastic Beanstalk 部 署 服务 器 和 工作 进程 。 
将 使 用 CloudFormation 模 板 。 这 可 能 听 起 来 够 似 很 奇怪 ， 因 为 用 目 动 
化 工具 来 使 用 另 一 个 目 动 化 工具 。 但 CloudFormation 能 做 的 比 部 署 两 
个 Elastic Beanstalk 应 用 程序 还 有 点 多 。 它 定义 如 下 : 


。 用 于 存储 原始 图 片 和 处 理 图 片 的 S3 桶 ; 
e DynamoDB 表 imagery-image ; 
© SQS 队 列 和 死 信 队列 (dead-letter queue) ; 


用 于 服务 絮 和 EC2 工 作 进 程 实例 的 [LAM 和 角色; 
用 于 服务 器 和 工作 进程 的 Elastic Beanstalk H ° 


创建 CloudFormation 堆 栈 需 要 相当 长 的 时 间 ， 这 就 是 为 什么 应 该 
这 么 做 。 创 建 堆栈 后 ， 碍 看 模板 。 之 后 ， 堆 栈 束 可 以 使 用 了 。 


为 了 部 署 Imagery， 我 们 创建 了 CloudFormation 模 板 (位 于 
https://s3.amazonaws.com/ awsinaction/chapter13/template.json) 。 基 于 
该 模板 创建 一 个 堆栈 ， 该 堆栈 输出 EndpointURL 返回 一 个 可 以 从 浏 
毁 妖 访问 使 用 Imagery 的 URL 地 址 。 这 是 如 何 从 终端 创建 堆栈 。 


$ aws cloudformation create-stack --stack-name imagery \ 
--template-url https://s3.amazonaws.com/\ 


awSinaction/chapter13/template.json \ 
--capabilities CAPABILITY_IAM 


现在 我 们 来 看 一 下 CloudFormation 模 板 。 


1. 部 署 S3、DynamoDB 和 SQS 


代码 清单 13-7 所 示 的 CloudFormation 片 段 撒 述 了 S3 彬 、DynamoDB 
表 和 SQS 队 列 。 


代码 清单 13-7 Imagery CloudFormation 模 板 : S3、DynamoDB 和 SQS 


{ 
"AWSTemplateFormatVersion": "2010-09-09", 
"Description": "AWS in Action: chapter 13", 
"Parameters": { 
"KeyName": { 
"Description": "Key Pair name", 
"Type": "AWS::EC2::KeyPair: :KeyName", 
"Default": "mykey" 
} 
ty 


"Resources": { 
"Bucket": { ---S3 存储 桶 用 于 上 传 和 处 理 图 片 ， 启 用 
"Type": "AWS::S3::Bucket", 
"Properties": { 
"BucketName": {"Fn::Join": ["-", 
["imagery", {"Ref": "AWS: :AccountId"}]]}, -- - 桶 名 包含 账号 
ID 确保 唯一 性 


"WebsiteConfiguration": { 


= 
D 
o 
cn 
只 


z 


"ErrorDocument": "error.html", 
"TIndexDocument": "index.html" 
J 
} 
ty 
"Table": { -- -包含 图 片 进程 的 DynamoDB 表 


"Type": "AWS::DynamoDB: :Table", 
"Properties": { 
"AttributeDefinitions": [{ 
"AttributeName": "id", 
"AttributeType": "S" 


}], 

"KeySchema": [{ 
"AttributeName": "id", ---id 属性 用 于 主键 散 列 值 
"KeyType": "HASH" 

}], 


"ProvisionedThroughput": { 
"ReadCapacityUnits": 1, 
"WriteCapacityUnits": 1 

ty 

"TableName": "imagery-image" 

} 
ty 


"SQSDLQueue": { —--SQS 队列 用 于 接收 无 法 处 理 的 消息 
"Type": "AwS::SQS: :Queue"， 
"Properties": { 

"QueueName": "message-dlq" 
} 

"SQSQueue": { ---SQS 队列 触发 图 片 处 理 
"Type": "AwS::SQS: :Queue"， 
"Properties": { 

"QueueName": "message", 
"RedrivePolicy": { 一 - -如 果 一 条 消息 接收 超过 10 次 ， 移 至 死 信 队 列 
"deadLetterTargetArn": {"Fn::GetAtt": 
["SQSDLQueue", "Arn"]}, 
"maxReceiveCount": 10 


ty 
"Outputs": { 
"EndpointURL": { -- -在 浏览 器 中 用 输出 地 址 访问 Imagery 
"Value": {"Fn::GetAtt": ["EBServerEnvironment", 
"EndpointUuRL" ]}, 
"Description": "Load Balancer URL" 


死 信 队 列 (dead-letter queue, DLQ) 的 概念 在 这 里 也 需要 简要 介 
绍 一 下 。 如 有 果 无 法 处 理 单个 SQS 消 息 ， 则 该 消息 在 其 他 工作 进程 的 队 


列 中 再 次 变 为 可 见 ， 这 称 为 重 试 。 但 是 如 果 由 于 某 种 原因 重 试 失败 

(也 许 代 码 中 有 错误 ) ， 消 息 将 永远 驻 留 在 队列 中 ， 并 可 能 因为 许多 

重 斌 浪费 大 量 的 资源 。 为 了 避免 这 种 情况 ， 可 以 配置 死 信和 队列。 如 果 

消息 被 重 试 超 过 特定 次 数 ， 将 从 原始 队列 中 删除 并 转移 到 DLQ。 其 区 

别 是 DLQ 上 没有 消息 的 工作 线程 。 但 是 ， 如 果 DLQ 人 包含 多 个 消息 ， 则 

ee cer bee 
此 问题 。 


现在 已 经 设计 了 基本 资源 ， 接 下 去 转 到 更 加 具体 的 资源 。 
2. 用 于 服务 器 和 工作 中 的 EC2 实 例 的 [LAM 角色 


请 记 住 ， 仅 授予 所 需 的 权限 很 重要 。 所 有 服务 器 必须 能 够 执行 以 
下 操作 。 


。 模板 中 创建 sqs:SendMessage 发 送 到 SQS 队 列 触发 图 片 处 理 。 

。 模板 中 创建 s3 :Put0bject 上 传 文 件 到 S3 (可 以 进一步 限制 上 传 
keyfi Z) 

。 模板 中 在 DynamoDB 表 中 创建 dynamodb :GetItem ` 
dynamodb :PutItem 和 dynamodb :UpdateItem。 

e cloudwatch:PutMetricData ， 这 是 Elastic Beanstalk 需 要 
的 。 

e s3:Get ` s3:List 和 s3:Put0bject 这 些 是 Elastic Beanstalk 
需要 的 。 


所 有 工作 进程 实例 能 够 处 理 以 下 事项 。 


模板 中 在 SQS 队 列 中 创建 sqs:ChangeMessageVisibility、 
sqs:DeleteMessage 和 sqs:ReceiveMessage ° 
模板 中 创建 s3 :Putobject 上 传 文件 到 S3 (可 以 进 步 限 制 上 传 
BEEN BU BR) 
模板 中 在 DynamoDB 表 中 创建 dynamodb :GetItem 和 
dynamodb :UpdateItem ° 
e cloudwatch:PutMetricData ， 这 是 Elastic Beanstalk 需 要 

的 。 
。S3:Get »s3:List 和 s3:Put0bject ， 这 是 Elastic Beanstalk 
需要 的 。 


如 果 对 IAM 人 角色 感到 不 满意 ， 可 以 在 下 载 的 源 代码 中 查看 本 书 的 
代码 。 模 板 的 IAM 角 色 可 以 在 chapter13/template.json 中 找到 。 


接 下 来 开始 设计 Elastic Beanstalkhy H ° 


3. 用 于 服务 器 的 Elastic Beanstalk 


简短 回顾 Elastic Beanstalk， 在 5.3 节 中 曾经 讲 过 。Elastic Beanstalk 
由 以 下 元 素 组 成 。 


。 应 用 程序 是 逻辑 容器 。 它 包含 版 本 ， 环 境 和 配置 。 要 在 区 域 中 使 
用 AWS Elastic Beanstalk， 必 须 首 先 创建 应 用 程序 。 

。 版 本 包含 应 用 程序 的 特定 版 本 。 要 创建 新 版 本 ， 必 须 将 可 执行 文 

件 (打包 到 归档 文件 中 ) 上 传 到 S3。 一 个 版 本 基本 上 是 一 个 指向 

这 个 可 执行 文件 的 指针 。 

配置 模板 包含 默认 配置 。 可 以 使 用 自 定义 配置 模板 管理 应 用 程序 

ees (如 应 用 程序 侦 听 的 端口 ) 以 及 环境 配置 (如 虚拟 机 的 大 

。 环境 是 AWS Elastic Beanstalk 执 行 应 用 程序 的 地 方 。 环 境 包 括 一 
O e 。 为 一 个 应 用 程序 运行 多 个 环境 可 以 多 次 使 用 版 本 

H o 


413-1575 T Elastic Beanstalk 应 用 程序 的 各 个 部 分 。 


应 用 程序 的 配置 应 用 
逻辑 容器 应 用 程序 的 特定 版 本 运行 时 环境 程序 和 环境 
Sy 
应 用 程序 


环境 : 
版 本 0.3， 配 置 A 


图 13-15 AWS Elastic Beanstalk 应 用 程序 包含 版 本 、 配 置 和 环境 


现在 已 经 刷新 内 存 ， 我 们 来 看 一 下 Imagery 服 务 颖 的 Elastic 
Beanstalk 应 用 ， 如 代码 清单 13-8 所 示 。 


代码 清单 13-8 Imagery CloudFormation 模 板 : 用 于 服务 器 的 Elastic Beanstalk 


"EBServerApplication": { -- -描述 服务 器 应 用 程序 容器 
"Type": "AWS::ElasticBeanstalk::Application", 
"Properties": { 
"ApplicationName": "imagery-server", 
"Description": "Imagery server: AWS in Action: chapter 13" 


} 


ty 
"EBServerConfigurationTemplate": { 


"Type": "AWS::ElasticBeanstalk: :ConfigurationTemplate", 
"Properties": { 
"ApplicationName": {"Ref": "EBServerApplication"}, 


"Description": "Imagery server: AWS in Action: chapter 13", 
"SolutionStackName": 
"64bit Amazon Linux 2015.03 v1.4.6 running Node.js", 一- -使 


JAmazonLinux 2015 .03 版 本 运行 Node.js 0.12.6 
"OptionSettings": [{ 


"Namespace": "aws:autoscaling:asg", 
"OptionName": "MinSize", 
"Value": "2" ~- -为 了 容错 ， 最 少 两 个 EC2 实例 
}, { 
"Namespace": "aws:autoscaling: launchconfiguration", 
"OptionName": "EC2KeyName", 
"Value": {"Ref": "KeyName"} =- -传递 键 值 对 中 的 参数 的 值 
}, { 
"Namespace": "aws:autoscaling:launchconfiguration", 
"OptionName": "IamInstanceProfile", 


"Value": {"Ref": "ServerInstanceProfile"} -- -连接 到 在 前 一 节 中 
创建 的 IAM 实例 的 配置 文件 


}, { 
"Namespace": "aws:elasticbeanstalk:container:nodejs", 
"OptionName": "NodeCommand", 
"Value": "node server.js" -- -启动 命令 
ret 
"Namespace": "aws:elasticbeanstalk:application:environment", 
"OptionName": "ImageQueue", 
"Value": {"Ref": "SQSQueue"} 二 -- 将 SQS 队列 传递 到 环境 变量 
}, { 
"Namespace": "aws:elasticbeanstalk:application:environment", 
"OptionName": "ImageBucket", 
"Value": {"Ref": "Bucket"} -- -将 S3 存储 桶 传递 到 环境 变量 
}, { 
"Namespace": 


"aws:elasticbeanstalk:container:nodejs:staticfiles", 
"OptionName": "/public", 
"Value": "/public" --- TAKE /public 的 文件 作为 静态 文件 
}] 


} 
}, 


"EBServerApplicationVersion": { 
"Type": "AWS::ElasticBeanstalk: :ApplicationVersion", 
"Properties": { 
"ApplicationName": {"Ref": "EBServerApplication"}, 


"Description": "Imagery server: AWS in Action: chapter 13", 
"SourceBundle": { 
"S3Bucket": "awsinaction", 


"S3Key": "chapter13/build/server.zip" ~-- 从 本 书 的 S3 桶 中 加 载 


"EBServerEnvironment": { 
"Type": "AWS::ElasticBeanstalk: :Environment", 
"Properties": { 
"ApplicationName": {"Ref": "EBServerApplication"}, 


"Description": "Imagery server: AWS in Action: chapter 13", 
"TemplateName": {"Ref": "EBServerConfigurationTemplate"}, 
"VersionLabel": {"Ref": "EBServerApplicationVersion"} 


} 
} 


5|Æ F, Elastic Beanstalk 使 用 ELB 将 流量 分 发 到 也 由 Elastic 
Beanstalk 管 理 的 EC2 实 例 。 只 需要 担心 Elastic Beanstalk 的 配置 和 代 
WG o 


4. 用 于 工作 进程 的 Elastic Beanstalk 


工作 进程 的 Elastic Beanstalk 应 用 和 服务 器 很 像 。 其 区 别 将 在 代码 
清单 13-9 中 突出 显示 。 


代码 清单 13-9 Imagery CloudFormation 模 板 : 用 于 用 户 进程 的 Elastic Beanstalk 


"EBWorkerApplication": { -- - 摘 述 工作 进程 应 用 容器 


"Type": "AWS::ElasticBeanstalk::Application", 
"Properties": { 
"ApplicationName": "imagery-worker", 
"Description": "Imagery worker: AWS in Action: chapter 13" 
} 
ty 
"EBWorkerConfigurationTemplate": { 
"Type": "AWS::ElasticBeanstalk: :ConfigurationTemplate", 
"Properties": { 
"ApplicationName": {"Ref": "EBWorkerApplication"}, 
"Description": "Imagery worker: AWS in Action: chapter 13", 
"SolutionStackName": 
"64bit Amazon Linux 2015.03 v1.4.6 running Node.js", 
"OptionSettings": [{ 
"Namespace": "aws:autoscaling: launchconfiguration", 
"OptionName": "EC2KeyName", 


"Value": {"Ref": "KeyName"} 


}, { 
"Namespace": "aws:autoscaling: launchconfiguration", 
"OptionName": "IamInstanceProfile", 
"Value": {"Ref": "WorkerInstanceProfile"} 
}, { 
"Namespace": "aws:elasticbeanstalk:sqsd", 
"OptionName": "WorkerQueueURL", 
"Value": {"Ref": "SQSQueue"} 
}, { 
"Namespace": "aws:elasticbeanstalk:sqsd", 
"OptionName": "HttpPath", 
"Value": "/sqs" —--BCSHTTP 资源 ， 在 SQS 消息 收 到 时 调用 
}, { 
"Namespace": "aws:elasticbeanstalk:container:nodejs", 
"OptionName": "NodeCommand", 
"Value": "node worker.js" 
}, { 
"Namespace": "aws:elasticbeanstalk:application:environment", 
"OptionName": "ImageQueue", 
"Value": {"Ref": "SQSQueue"} 
}, { 
"Namespace": "aws:elasticbeanstalk:application:environment", 
"OptionName": "ImageBucket", 
"Value": {"Ref": "Bucket"} 
}] 


} 


了 
"EBWorkerApplicationVersion": { 
"Type": "AWS::ElasticBeanstalk: :ApplicationVersion", 
"Properties": { 
"ApplicationName": {"Ref": "EBWorkerApplication"}, 


"Description": "Imagery worker: AWS in Action: chapter 13", 
"SourceBundle": { 
"S3Bucket": "awsinaction", 


"S3Key": "chapter13/build/worker.zip" 


} 
} 


T 
"EBWorkerEnvironment": { 
"Type": "AWS::ElasticBeanstalk::Environment", 
"Properties": { 
"ApplicationName": {"Ref": "EBWorkerApplication"}, 
"Description": "Imagery worker: AWS in Action: chapter 13", 
"TemplateName": {"Ref": "EBWorkerConfigurationTemplate"}, 
"VersionLabel": {"Ref": "EBWorkerApplicationVersion"}, 
"Tier": {  ”。-- 切 换 到 工作 进程 环境 层 (将 SQS 消息 推送 到 应 用 程序 ) 
"Type": "SQS/HTTP", 


"Name": "Worker", 
"Version": "1.0" 


在 所 有 的 JSON 读 取 之 后 ， 应 该 创建 CloudFormation 堆 栈 。 验 证 堆 
栈 的 状态 如 下 : 


$ aws cloudformation describe-stacks --stack-name imagery 


"Stacks": [{ 
[...] 
"Description": "AWS in Action: chapter 13", 
"Outputs": [{ 
"Description": "Load Balancer URL", 
"OutputKey": "EndpointURL", 
"OutputValue": "awseb-...582.us-east-1.elb.amazonaws.com" 
=- -将 输出 复制 到 在 浏览 器 中 
}], 
"StackName": "imagery", 
"StackStatus": "CREATE_COMPLETE" 一- -等 到 变 为 CREATE_COMPLETE 


}] 
} 


堆栈 的 EndpointURL 输出 是 用 于 访问 Imagery 应 用 程序 的 URL 地 
址 。 当 在 浏览 器 中 打开 Imagery， 可 以 上 传 图 片 ， 如 图 13-16 所 示 。 


继续 上 传 一 些 图 片 。 你 已 创建 了 一 个 容错 的 应 用 程序 ! 


找到 12 位 数字 的 账号 ID (878533158213) ， 可 以 使 用 


$ aws iam get-user --query "User.Arn" --output text 
arn:aws: iam: :878533158213:user/mycli 


通过 执行 删除 S3 桶 中 所 有 文件 s3://imagery-$AccountId (用 账号 ID 替代 


$AccountId ) : 


i 
$ aws s3 rm s3://imagery-$AccountId --recursive 


HITA T fi SHR CloudFormation i 


$ aws cloudformation delete-stack --stack-name imagery 


栈 删除 将 会 花 一 点 儿 时 间 。 


New image Upload View View 


Create a new image 
state created state uploaded state processed 


Browse... cover.png 


Upload 
Refresh - New image 


图 13-16 ”Imagery 应 用 程序 执行 


13.4 小 结 


eee 这 种 方式 设计 系统 可 以 处 理 故 

= 

Ee 可 以 使 用 需 等 操作 从 一 个 状态 转换 到 下 一 
| WS ° 

ee 留 在 服务 器 (无 状态 服务 器 ) 上 ， 这 作为 容错 的 先决 
条 


。 AWS 提 供 容 错 服 务 ， 并 提供 创建 容错 系统 所 需 的 所 有 工具 。EC2 
征 少数 儿 个 不 是 容错 的 服务 之 一 。 

。 可 以 使 用 多 个 EC2 实 例 消 除 单 点 故障 。 不 同 可 用 区 域 中 的 元 余 
EC2 实 例 《以 自动 扩展 组 开始 ) 是 使 EC2 容 错 的 方法 。 


B14 MERERI: 目 动 扩展 和 
CloudWatch 


本 章 主要 内 容 


。 通过 局 动 配置 创建 一 个 目 动 扩展 组 

。 通 过 目 动 扩展 调整 虚拟 服务 器 的 数量 

。 在 ELB 后 面 扩 展 同步 解 而 应 用 程序 

。 利 用 SQS 服 务 扩展 异步 解 厢 的 应 用 

。 利用 CloudWatch 的 告警 修改 目 动 扩展 组 


假设 你 要 组 织 一 个 生日 晚会 ， 你 要 购买 多 少 饮 料 和 食物 ? 准确 地 
预测 购物 的 数量 是 很 困难 的 。 


© 有 多 少 客人 会 参加 ? 有 些 客人 已 经 确定 要 来 ， 但 是 有 些 人 会 在 晚 
会 前 取消 出 席 ， 甚 至 有 些 人 还 不 会 提前 告知 你 。 因 此 实际 出 席 客 
人 的 数量 是 不 确定 的 。 

你 的 客人 会 吃 多 少食 物 ， 哆 多 少 饮 料 ? 那天 会 是 一 个 大 热天 ， 大 
家 喝 很 多 吗 ? 你 的 客人 会 饿 着 吗 ? 你 只 能 根据 以 往 晚 会 的 经 验 猜 
测 食物 和 饮料 的 量 。 


由 于 很 多 未 知 的 因素 ， 解 决 这 种 预算 问题 确实 很 难 。 为 了 给 大 家 
留 下 一 个 好 的 印象 ， 你 会 预 完 购买 比 实际 需求 要 多 的 食物 和 饮料 ， 硕 
望 给 大 家 一 个 美好 的 目 助 生日 餐 ， 这 样 束 不 会 有 人 人 包 B 看 或 者 淘 痢 回 
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满足 未 来 需求 的 计划 几乎 是 不 可 能 的 。 为 了 避免 供需 之 间 的 差 
距 ， 你 将 会 在 峰值 需求 上 再 加 上 和 额外 的 数量 来 避免 未来 的 资源 短缺 。 


当 我 们 规划 IT 设施 的 容量 时 ， 我 们 也 会 做 出 一 样 的 行为 我 们 购 
天 数据 中 心 的 硬件 设施 时 ， 经 币 是 基于 未 来 的 需求 来 进行 购买 的 。 


然而 ， 当 我 们 做 决定 时 ， 我 们 同样 会 遇 到 很 多 不 确定 的 因素 。 


。IT 基 础 设施 需要 服务 多 少 用 户 ? 
。 用 户 会 需要 多 少 存储 空间 ? 
。 为 满足 用 户 的 要 求 ， 需 要 多 大 的 计算 能 力 ? 


为 了 避免 供求 之 间 的 差距 ， 不 得 不 订购 更 多 、 更 快 的 硬件 设施 来 
增加 不 是 非常 必要 的 开销 。 


在 AWS 上 ， 你 可 以 按 需 使 用 云 计算 的 服务 ， 因 此 提前 预测 容量 已 
经 没 那 么 重要 了 ， 服 务 器 从 一 个 扩容 到 成 千 个 服务 器 是 完全 可 行 的 。 
存储 容量 可 以 目 动 从 GB 级 别 扩 容 到 PB 级 别 ， 可 以 按 需 扩容 ， 因 此 也 
不 需要 容量 预 舍 。 这 种 按 需 扩容 的 特性 就 是 我 们 强调 的 “弹性 ”。 


像 AWS 一 样 的 公有 云 厂 商 短 时 间 内 可 以 提供 你 所 需 的 容量 。AWS 
已 经 服务 于 一 百 多 万 的 客户 ， 在 此 规模 下 ， 分 钟 级 别 之 内 给 你 同时 提 
供 100 个 虚拟 服务 器 是 完全 可 能 的 。 这 整 解 决 了 典型 的 流量 模式 问题 ， 
如 图 14-1 所 示 。 假 想 一 下 日 天 与 晚上 你 的 基础 设施 上 负载 的 容量 区 
别 ;， 周 末 与 平时 的 区 别 ; 圣诞 前 与 其 他 时 间 的 区 别 。 如 采 当 你 在 流量 
上 升 时 能 够 增加 容量 ， 流 量 下 降 的 时 候 减 小 容量 ， 这 则 不 是 更 好 的 做 
法 。 在 本 章 中 ， 你 将 学 会 基于 现在 的 负载 如 何 调节 虚拟 服务 右 。 


系统 负载 
系统 负载 
系统 负载 


6 点 12 点 18 点 星期 一 星期 四 星期 日 ] 月 12 月 


图 14-1 网 上 商店 的 典型 流量 模式 


扩展 虚拟 服务 器 数量 可 以 在 AWS 上 通过 自动 扩展 (auto-scaling) 
和 扩展 策略 (scaling policy) 来 实现 。 自 动 扩 展 是 EC2 服 务 的 一 部 
分 ， 可 满足 扩展 系统 当前 负载 所 需 的 EC2 实 例 的 数量 的 需要 。 我 们 在 
第 11 章 中 介绍 过 自动 扩展 能 够 在 即使 整个 数据 中 心中 断 的 情况 下 ， 也 
能 够 保证 单个 虚拟 服务 器 的 正常 运行 。 在 本 章 中 ， 读 者 将 了 解 如 何 使 
用 动态 服务 器 池 。 


。 使 用 自动 扩展 启动 多 个 相同 类 型 的 虚拟 服务 器 。 
。 借助 CloudWatch 的 功能 ， 依 据 CPU 人 负载 更 改 虚 拟 服务 器 数量 。 


Sn ae ee ee Oe 


ate 
。 使 用 人 负载 均衡 器 作为 动态 服务 器 池 的 入 口 点 。 
。 使 用 队列 把 从 动态 服务 右 池 来 的 任务 解 硝 。 


本 章 中 的 所 有 示例 都 包含 在 免费 套餐 中 。 只 要 不 是 运行 这 些 示例 好 几 天 ， 就 不 需要 文 
付 任何 费用 。 记 住 ， 这 仅 适 用 于 读者 为 学 习 本 书 刚刚 创建 的 全 新 AWS 账 户 ， 并 且 在 这 个 
其 他 活动 。 尽 量 在 几 天 的 时 间 里 完成 本 章 中 的 示例 ， 在 每 个 示例 完成 后 务 
必 清 理由 


mo 
Et 


这 里 有 两 个 先决 条 件 使 得 能 够 水 平 扩展 应 用 程序 ， 这 束 意 味 着 增 
加 和 减少 虚拟 服务 器 数 量 是 基于 如 下 工作 人 负载 。 


。 要 扩展 的 服务 器 需要 是 无 状态 的 。 可 以 把 数据 存储 在 RDS (SQL 
数据 库 ) , DynamoDB (NoSQL 数 据 库 ) 或 S3 (对 象 存储 ) 之 类 
的 服务 ， 而 不 是 存储 在 只 有 特定 的 服务 器 可 以 识别 的 本 地 或 者 网 
络 连接 的 磁盘 上 ， 这 样 可 以 使 服务 器 处 于 无 状态 。 
需要 动态 服务 器 池 的 入 口 点 能 够 在 多 个 服务 器 上 分 配 流量 。 服 务 
器 可 以 与 负载 均衡 器 同步 解 耦 或 与 队列 异步 解 耘 。 


我 们 在 本 书 的 第 三 部 分 中 介绍 了 无 状态 服务 器 的 概念 ， 并 在 第 12 
章 中 解释 了 如 何 使 用 解 厅 。 本 章 会 重新 学 习 无 状态 服务 右 的 概念 ， 并 
通过 一 个 实际 例子 了 解 同步 和 异步 解 类。 


14.1 管理 动态 服务 事 池 


设想 一 下 ， 需 要 提供 可 扩展 的 基础 架构 来 运行 像 博客 平台 一 样 的 
Web 应 用 程序 。 当 请 求 数 量 增加 时 ， 需 要 局 动 环境 一 致 的 虚拟 服务 
硕 ， 而 在 请 求 数量 减少 时 ， 终止 内 置 的 虚拟 服务 器 。 为 了 目 动 化 适应 
当前 流量 负载 ， 和 需要 能 够 目 动 局 动 和 终止 虚拟 服务 右 。 博 客 平 台 的 配 
置 和 部 署 需 要 在 局 动 配置 期 间 完 成 ， 无 顷 人 工 干预 。 


AWS 提 供 了 目 动 扩展 来 管理 这 种 动态 服务 絮 池 。 目 动 扩 展 可 帮 你 
实现 以 下 功能 


运行 可 以 动态 调整 所 需 数量 的 虚拟 服务 器 。 


。 启动 、 配 置 和 部 署 统一 环境 的 虚拟 服务 器 。 
如 图 14-2 所 示 ， 上 自动 扩展 组 包括 以 下 3 个 部 分 。 


自动 扩展 定义 了 一 个 动态 服务 器 池 ， 
由 一 个 自动 组 和 一 个 启动 配置 组 成 


定义 服务 器 的 最 大 数量 和 最 小 数量 。 根 据 


jaa il 务 器 数量 


自动 扩展 组 


虚拟 服务 器 的 


启动 配置 
模板 和 对 虚拟 
最 大 、 最 小 和 所 需 数量 | 触发 虚拟 服务 器 的 启动 服务 器 的 配置 
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通过 检查 虚拟 服务 器 实例 状态 或 终止 虚拟 服务 器 基于 模板 启动 配置 
应 用 程序 的 运行 状 来 监控 健康 状况 启动 虚拟 服务 器 


图 14-2 


L 


动 扩展 包括 


Lo 


多 个 虚拟 服务 器 需要 无 状态 和 解 耦 


动 扩展 组 和 启动 配置 ， 启 动 和 终止 统一 虚拟 服务 器 


。 确 定 虚 拟 服 务 右 的 大 小 ， 映 像 和 配置 的 启动 配置 。 
。 确定 基 于 启动 配置 需要 运行 多 少 个 虚拟 服务 右 的 目 动 扩展 组 。 
。 调整 在 目 动 扩展 组 里 所 需 服务 器 数量 的 扩展 策略 。 


由 于 自动 扩展 需要 参考 启动 配置 ， 因 此 在 创建 自动 扩展 组 之 前 需 


要 先 创建 启动 配置 。 如 果 使 用 模板 〈 像 本 章 一 样 ) ， 启 动 配置 直 接 由 
CloudFormation 上 自动 解决 。 


如 果 硕 望 用 很 多 服务 器 来 解决 工作 负载 ， 则 必须 局 动 相同 的 虚拟 


服务 器 来 构建 同 质 的 基础 设施 。 可 以 使 用 局 动 配置 来 定义 和 配置 新 的 
虚拟 服务 器 。 表 14-1 显 示 了 局 动 配置 的 最 重要 的 参数 。 


表 14-1 ”启动 配置 参数 


ImageIdID 


InstanceType 


UserData 


AssociatePublicIpAddress 


SecurityGroups 


IamInstanceProfile 


SpotPrice 


Ebs Optimized 


动 一 个 新 的 虚拟 服务 器 所 需要 的 


新 虚拟 服务 器 的 大 小 


和 引导 期 间 执 行 脚本 的 虚拟 服务 器 
9 用 户 数据 


密 钥 对 的 名 称 


公 网 卫 关 联 到 虚拟 服务 器 上 


日 关联 到 新 的 虚拟 服务 器 上 


IAM 实 例文 件 关联 到 IAM 和 角 


Amazon 系 统 映像 
(AMI) 的 ID 


虚拟 服务 器 类 型 
(如 t2.micro) 


Base64 编 码 字符 
串 


密 钥 对 的 名 称 


真 或 者 假 


全 组 名 称 的 清 


名 称 或 者 IAM 实 
例 性 能 的 ARN 


以 最 大 价格 使 用 竞价 实例 ， 而 不 用 
按 需 示例 


通过 AMI 设 定 ， 给 EBS 根 卷 提 供 专 
吞吐 量 来 使 EC2 能 够 EFBS 优 化 


竞价 实例 每 小 时 
最 高 价 (如 0.1) 


真 或 者 假 


创建 局 动 配 置 后 ， 可 以 创建 目 动 扩 展 组 来 局 动 配置 。 目 动 扩展 组 
定义 了 虚拟 服务 器 的 最 大 、 最 小 值 和 所 需 数量 。“ 所 需 ” 的 意思 是 应 该 
运行 的 虚拟 服务 硕 的 数量 。 如 有 果 当 前 服务 硕 数 量 低 于 所 需 数量 ， 则 目 
如 采 当 前 服务 器 数量 高 于 所 需 数量 ， 服 务 胡 


动 扩展 组 将 添加 服务 器 。 


将 被 终止 。 


目 动 扩 展 组 还 会 监视 EC2 实 例 是 否 正常 工作 ， 并 替换 损坏 的 实 
例 。 表 14-2 显 示 了 目 动 扩展 组 一 些 重要 的 参数 。 


表 14-2 ”自动 扩展 组 重要 参数 


需 健康 的 虚拟 服 
务 器 


DesiredCapacity 


MaxSize 虚拟 服务 器 的 最 大 
数量 ， 扩 展 上 限 

MinSize 虚拟 服务 器 的 最 小 
数量 ， 扩 展 下 限 

Cooldown 扩大 与 缩小 之 间 的 
最 小 时 间 跨 度 


自动 扩展 组 如 何 监 
EC2 (实例 的 健康 ) 或 者 ELB (由 
HealthCheckType 测 虚 拟 服务 的 健康 pe punta manele 


新 局 目 动 一 个 实例 之 
HealthCheckGracePeriod sees eee 


司 间隔 


oes. 
LaunchConfigurationName 名 和 Fee AACS 动 配置 的 名 称 
名 称 


负载 均衡 器 目 动 注 | 负载 均衡 器 名 列表 


LoadBalancerNames 
册 新 实例 


来 确定 哪 一 个 实 


TerminationPolicies 本 
ai oe j 先 终止 的 策略 


启动 EC2 实 例 的 子 


VPCZoneIdentifier 
网 列表 


OldestInstance ` 


OldestLaunchConfigure-tion ` 
Closest To NextIns- tance Hour 或 
Default 


VPC 的 子 网 列表 


NewestInstance ` 


如 果 在 VPCZoneIdentifier 的 帮助 下 为 目 动 扩展 组 指定 多 个 子 


2 EC2 实 例 将 均匀 分 布 在 这 些 子 网 之 间 ， 从 而 在 可 用 区 之 间 均 匀 分 


Cooldown 和 HealthCcheckGracePeriod 周期 。 但 是 如 果 你 的 Co0oldown 时 
你 会 过 早 地 被 放大 和 缩小 。 如 果 你 的 HealthcheckGracePeriod KE, Hat 2 
动 一 个 新 实例 ， 因 为 上 一 个 实例 不 能 快速 启动 。 两 者 都 将 启动 不 必要 的 实例 并 导致 不 必要 


的 费用 


请 务必 定义 合理 的 Coo1down 和 HealthcheckGracePeriod 值 。 建 议 指 


定 较 短 的 


间 太 短 ， 


将 


mls 


BS, (TCS AC o WR OUR BAC, R T 
列 步骤 操作 。 


(1) 创建 新 的 启动 配置 。 
(2) 编辑 自动 扩展 组 ， 并 引用 新 的 启动 配置 。 


(3) 删除 旧 的 启动 配置 。 


邓 运 的 是 ， 当 你 对 模板 中 的 局 动 配置 进行 更 改 时 ， 
CloudFormation 会 为 你 执行 此 操作 。 代 码 清单 14-1 展 示 了 如 何在 
CloudFormation 模 板 的 帮助 下 设置 此 类 动态 服务 器 池 。 


代码 清单 14-1 


具有 


IN 


多 个 EC2 实 例 的 Web 应 


的 自 


动 扩 展 


[...] 


"LaunchConfiguration": { 
"Type": "AWS: :AutoScaling: :LaunchConfiguration", 
"Properties": { 
eon IMagerd": "ami-b43503a9", =- -操作 系统 映像 (AMI) 启动 新 的 虚拟 服 
a 
"InstanceType": "t2.micro", 一 - -新 的 EC2 实例 的 实例 类 型 
"SecurityGroups": ["webapp"], 一- -用 于 新 的 虚拟 服务 器 的 密 钥 对 的 名 


称 


"KeyName": "mykey", =- -启动 虚拟 服务 器 附加 这 些 安全 组 

"AssociatePublicIpAddress": true, =- -用 新 的 虚拟 服务 器 关联 一 个 公 

有 IP 地 址 

"UserData": {"Fn::Base64": {"Fn::Join": ["", [ —- -虚拟 服务 器 

引导 期 间 执 行 的 脚本 
"#!/bin/bash -ex\n", 

"yum install httpd\n", 


]]}} 


} 
ty 
"AutoScalingGroup": { 

"Type": "AWS: :AutoScaling: :AutoScalingGroup", 

"Properties": { 

"l_oadBalancerNames": [{"Ref": "LoadBalancer"}], 一 - -在 ELB 73 
新 的 虚拟 服务 器 

"LaunchConfigurationName": {"Ref": "LaunchConfiguration"}, 
---5/A Race 

"MinSize": "2", 一 - -月 最 小 数量 
"MaxSize": "4", 一 - -月 数量 
"DesiredCapacity": "2", 动 扩展 组 试图 达到 的 健康 的 虚拟 服务 器 数 


"Cooldown": "60", ~- -在 两 个 扩展 操作 之 间 等 待 68 s (如 启动 新 的 虚拟 服 


"HealthCheckGracePeriod": "120", -- -在 虚拟 服务 器 启动 后 等 待 120 
Ss， 然 后 开始 监视 其 运行 状况 

"HealthCheckType": "ELB", —- -使 用 ELB 的 健康 检查 EC2 实例 的 运行 状 
况 

"VPCZoneIdentifier": ["subnet-a55fafcc", "subnet-fa224c5a" | 
~- -在 VPC 的 这 两 个 子 网 中 启动 虚拟 服务 器 


} 
} 
‘ee 


如 果 需 要 在 多 个 可 用 区 域 中 局 动 同一 类 型 的 多 个 虚拟 服务 右 ， 则 
目 动 扩展 组 是 一 个 非常 好 用 的 工具 。 


14.2 ”使 用 监控 指标 和 时 间 计 划 触 发 扩展 


到 目前 为 止 ， 在 本 章 中 ， 你 已 经 学 习 了 如 何 使 用 自动 扩展 组 和 局 
动 配 置 来 局 动 虚拟 服务 右 。 你 可 以 手动 更 改 目 动 扩展 组 的 所 需 容量 ， 
并 且 将 启动 狐 实 例 或 终止 旧 实 例 以 达到 新 的 所 需 容量 。 


要 为 博客 平台 提供 可 扩展 的 基础 架构 ， 你 需要 通过 使 用 扩展 策略 
调整 目 动 扩展 组 的 所 需 容 量 ， 因 而 目 动 增加 和 减少 动态 服务 器 池 中 的 
虚拟 服务 器 数量 。 


许多 人 在 午休 期 间 进行 网 上 冲浪 ， 因 此 你 可 能 需要 在 每 天 的 上 午 
11:00 和 下 午 1:00 之 间 增 加 虚拟 服务 器 。 你 还 需要 适应 不 可 预测 的 负载 
模式 ， 例 如 ， 在 你 的 博客 平台 上 发 表 的 文章 在 社交 媒体 上 得 到 广泛 传 
播 ， 在 架构 上 你 需要 做 出 调整 。 


图 14-3 说 明了 更 改 虚拟 服务 句 数 量 的 两 种 不 同方 法 。 


。 根据 度量 参数 (如 CPU 利 用 率 或 负载 均衡 器 上 的 请 求 数 ) 使 用 
CloudWatch 和 警报 增加 或 减少 虚拟 服务 右 数 量 。 

。 根据 重复 的 负载 模式 设 定 计 划 增 加 或 减少 虚拟 服务 右 的 数量 (如 
夜间 减少 虚拟 服务 器 的 数量 ) 。 


自动 扩展 组 增加 或 减少 虚拟 服务 器 


的 数量 来 对 警告 和 计划 作出 反应 
i 
b 
Cloud Watch #4 ti 时 间 计 划 
CPU 负载 >75%: +1 服 务 器 上 午 11 点 : +2 服 务 器 
CPU 负载 <25%: -1 服务 器 下 午 4 点 : -2 服务 器 
自动 扩展 组 将 
按照 自动 组 中 
指定 的 服务 
= 的 最 小 和 最 大 
自动 扩展 数量 执行 
基于 启动 配置 启动 


和 终止 EC2 实 例 


多 个 虚拟 服务 器 


图 14-3 ”基于 CloudWatch 警 报 或 计划 触发 自动 多 个 虚拟 服务 器 
基于 时 间 计 划 的 扩展 比 CloudWatch 指 标的 扩展 更 为 简单 ， 因 为 


CloudWatch 里 很 难 找到 准确 的 扩展 指标 。 然 而 基于 时 间 计 划 的 扩展 也 
不 太 精 确 。 


14.2.1 基于 时 间 计 划 的 扩展 


管理 博客 平台 时 ， 你 可 能 会 注意 到 重复 的 人 负载 模式 。 


。 许多 人 似乎 在 午休 时 间 (上 午 11:00 至 下 午 1:00 之 间 ) 阅读 文章 。 
。 当 你 在 晚上 投放 电视 广告 后 ， 你 的 注册 页 面 的 请 求 会 大 幅 增 加 。 


你 可 以 使 用 不 同类 型 的 时 间 计 划 扩 展 操 作 来 对 系统 使 用 中 的 模式 
做 出 反应 。 


。 一 次 性 操作 ， 通 过 Starttime 参数 来 创建 
。 循环 操作 ， 通 过 recurrence 参数 来 创建 


可 以 在 命令 行 的 帮助 下 创建 两 种 类 型 的 时 间 计 划 扩 展 操作 。 代 码 
清单 14-2 中 显示 的 命令 行 创建 了 一 个 时 间 计 划 扩 展 操作 ， 有 具体 内 容 是 
在 2016 年 1 月 1 日 12:00 (UTC) 将 自动 扩展 组 (名 为 webapp ) 所 需 的 
容量 设置 为 4。 不 要 立即 运行 如 下 命令 ， 因 为 你 尚未 创建 自动 扩展 组 
的 Web 应 用 程序 。 


代码 清单 14-2 ”计划 一 次 性 的 扩展 操作 


$ aws autoscaling put-scheduled-update- eau action \ 
--scheduled-action-name ScaleTo4 \ ERPAT 
--auto-scaling-group-name webapp \ 一 - - 展 组 的 名 称 


--start-time "2016-01-01T12:00:00Z" \ - -出 发 扩展 操作 的 启动 时 间 
(UTC) 
--desired-capacity 4 =- -需要 为 计划 扩大 


你 还 可 以 使 用 cron 语 法 执行 时 间 计 划 循 环 扩展 操作 。 通 过 命令 行 
将 自动 扩展 组 所 需 的 容量 设置 为 每 天 20:00 (UTC) 为 2， 如 代码 清单 
14-3 所 示 。 不 要 立即 运行 如 下 命令 ， 因 为 你 尚未 创建 自动 扩展 组 
webapp ° 


代码 清单 14-3 ”计划 每 天 在 UTC 时 间 20:00 点 运行 的 定期 扩展 操作 


$ aws autoscaling put-scheduled-update- ae Bee on > 
-scheduled-action-name ScaleTo2 \ Wa 
-auto-scaling-group-name webapp” \ 自动 扩展 组 的 名 称 
-recurrence "@ 20 * * *" AN .Uni cron 语法 中 的 定义 那样 

在 29:66 (UTC) 触发 一 个 动作 

--desired-capacity 2 ~- -要 为 计划 扩展 组 设置 容量 


循环 是 在 Unix cron 语 法 格式 中 定义 的 ， 如 下 所 示 : 


| | 
| +- day of week (0 - 6) (0 Sunday) 
+--- month (1 - 12) 

+----- day of month (1 - 31) 

+------- hour (0 - 23) 


* 


你 也 可 以 添加 男 一 个 时 间 计 划 的 循环 扩展 操作 ， 早 晨 增 加 而 晚上 
减少 容量 。 只 要 在 某 一 段 时 间 内 你 的 基础 架构 上 的 负载 可 预测 ， 你 束 
可 以 使 用 时 间 计 划 来 进行 扩展 操作 。 例 如 ， 内 部 系统 可 能 在 工作 时 间 


内 容量 最 大 ， 或 者 市 场 营销 活动 在 既定 时 间 内 上 线 。 
14.2.2 ”基于 Cloudwatch 参 数 的 扩展 


预测 未 来 是 一 项 艰巨 的 任务 。 流 量 超出 我 们 已 知 模式 的 时 候 ， 流 
量 会 不 时 地 增加 或 减少 。 例 如 ， 如 采 在 你 博客 平台 上 发 布 的 文章 得 到 
各 大 社交 媒体 的 转载 ， 你 需要 对 这 预期 之 外 的 负载 做 出 反应 ， 并 迅速 
扩展 服务 器 数量 。 


你 可 以 借助 CloudWatch 和 扩展 策略 来 调整 EC2 实 例 的 数量 来 处 理 
当前 的 工作 负载 ， 如 图 14-4 所 示 。CloudWatch 帮 助 你 监控 AWS 上 的 虚 
拟 服务 恬 和 其 他 服务 的 性 能 。 通 常 ， 各 个 服务 将 使 用 量 的 参数 发 送 到 
CloudWwatch 上 ， 以 便 帮 你 评估 可 用 容量 。 根 据 当 前 的 工作 负载 触发 扩 
展 ， 而 你 需要 使 用 的 是 参数 、 警 报 和 扩展 策略 。 


息 - 


监控 度量 =] 

* CloudWatch Jif Rt CloudWatch* 4 

.CPU 负载 

+ as A 

“定制 度量 1. 如 果 达 到 阔 值 ， 则 增加 

| 或 减少 所 需 的 容量 
Q 用 现 有 工作 负载 自动 扩展 
发 布 度量 


2. 启动 和 终止 EC2 实 例 


多 个 虚拟 服务 器 


图 14-4 ”基于 CloudWwatch 的 参数 和 报警 的 触发 自动 扩展 


EC2 实 例 默认 向 CloudWatch 发 送 儿 个 重要 指标 ， 像 CPU、 网 络 和 
人 磁 副 利用 率 。 然 而 ， 目 前 还 没有 虚拟 服务 器 内 存 使 用 的 相关 指标 信 
E o MURA BIR, PRAT OME Et aOR BARA es © fil 
如 ， 如 采 CPU 利 用 率 达 到 极限 ， 则 添加 服务 器。 


下 列 参 数 描述 了 CloudWatch 指 标 。 


指定 指标 的 来 源 (如 AWS/EC2) 。 
指定 指标 范围 (如 所 有 自动 扩展 组 里 的 虚拟 服 


。 Namespace 

e Dimensions 
Bat) ° 

e MetricName 


指标 唯一 的 名 称 (如 CPUUtilization) 。 


一 个 CloudWatch 和 警报 是 基于 一 个 Cloudwatch 指 标的 。 表 14-3 详 解 
了 警报 的 相关 参数 。 


表 14-3 ”Cloudwatch 基 于 CPU 的 利用 率 触发 自动 扩展 组 里 所 有 服务 器 的 扩容 的 警报 参数 


Sree 度量 的 统计 画 AU Average ` Sum ` Minimum-Maximum ` 
statistic 用 
/ SampleCount 
条 
ae 从 度量 中 定义 基于 
时 间 的 值 切 片 


ae hess 


EvaluationPeriods 


zz. | Threshold = 


. Ar GreaterThanOrEqualTothreshold ` 
或 
APES BIEL St GreaterThanThreshold ` 


ComparisonOperator | 7 函数 Z = 行 
pale P is AI BAIL AT LessThanThreshold ` 
下 


LessThanOrEqualToThreshold 


度量 的 来 源 AWS/EC2 EC2 服 务 的 指标 


noe 参照 案 合 度量 的 日 动 
标 Dimensions ZENYE 自动 扩展 组 的 所 有 关联 的 服务 


一 例如 : Ccpuutilization 
PIREA | 扩展 策略 的 引用 


代码 清单 14-4 创 建 一 个 警报 ， 如 果 所 有 自动 扩展 组 里 的 虚拟 服务 
器 的 平均 CPU 利用 率 超过 80%， 则 增加 虚拟 服务 器 的 数量 。 


代码 清单 14-4 基于 自动 扩展 


"CPUHighAlarm": { 


ANS 


日 CPU 负载 的 CloudWwatch 报 警 


"Type": "AWS::CloudWatch: :Alarm", 
"Properties": { 


"EvaluationPeriods": "1", =- - 仅 计 算 一 个 周期 
"Statistic": "Average", ~- -计算 度量 值 的 平均 值 
"Threshold": "80", <--BIEA80% CPU 利用 率 
"AlarmDescription": "Alarm if CPU load is high.", 一- -警告 的 
描述 
"Period": "60", 一- -一 个 周期 69 s 
"AlarmActions": [{"Ref": "ScalingUpPolicy"}], =- - WRIA FI BY 
值 ， 则 触发 扩展 策略 
"Namespace": "AWS/EC2", -- -度量 由 EC2 实例 发 布 
"Dimensions": [{ -- -使 用 从 属于 特定 自动 扩展 组 的 所 有 服务 器 的 CPU 利用 
率 的 度量 
"Name": "AutoScalingGroupName", 
"Value": {"Ref": "AutoScalingGroup"} 
}], 
"ComparisonOperator": "GreaterThanThreshold", -- -如 果 CPU 的 
平均 利用 率 比 阔 值 高 ， 则 触发 警报 
"MetricName": "CPUUtilization" ~- -包含 EC2 实例 的 CPU 利用 率 的 度 
量 


如 条 达到 靖 值 ，CloudWatch 警 报 将 触发 一 个 操作 。 要 将 警报 与 目 


动 扩展 组 连接 ， 你 需要 设 定 扩展 策略 。 扩 展 策略 定义 由 CloudWatch 警 
报 执行 的 扩展 操作 。 


如 图 14-5 所 示 ， 通 过 CloudFormation 创 建 了 一 个 扩展 策略 。 扩 展 策 
略 绪 定 到 自动 扩展 组 。 下 面 有 3 个 不 同 的 选项 来 调整 自动 扩展 组 的 所 需 


RE 
FE 


e ChangeInCapacity 一 EXT ZUE A nl > ARB RNE © 

。 PercentChangeInCapacity 一 一 以 百分比 增加 或 减少 服务 器 
数量 。 

。ExactCapacity 一 一 将 所 需 容量 设置 为 指定 的 数量 。 


代码 清单 14-5 ”将 在 触发 时 添加 一 台 服 务 器 的 扩展 策略 


"ScalingUpPolicy": { 
"Type": "AWS: :AutoScaling: :ScalingPolicy", 
"Properties": { 
"AdjustmentType": "ChangeInCapacity", -- - 按 绝对 数量 更 改 容量 


"AutoScalingGroupName": {"Ref": "AutoScalingGroup"}, ---5]| 
自动 扩展 组 
"Cooldown": "60", 二 - -等 竺 至少 66 s， 直 到 下 一 个 扩展 操作 可 以 发 生 
"ScalingAdjustment": "1" --- EJI RAW MBA BH 1 
} 
} 


你 可 以 在 许多 不 同 的 指标 上 定义 警报 。 你 将 会 看 到 AWS 在 官方 网 
站 提供 的 所 有 命名 空间 、 维 度 和 度量 的 概述 。 你 还 可 以 发 布 目 定义 度 
i J 度量。 


一 些 像 2 通用 系列 的 实例 可 以 提供 突 发 性 能 。 这 些 虚 拟 服务 器 在 基准 CPU 性 能 下 提供 
服务 ， it pee ANINA RR 如 采 所 有 的 积分 都 被 用 光 了 ， 实 
例 在 基准 水 平 工 作 。 对 于 t2.micro 实 例 ， 基 准 性 能 是 底层 物理 机 CPU 性 能 的 10% 。 


使 用 具有 突 发 性 能 的 虚拟 服务 器 可 以 帮助 你 对 负载 峰值 做 出 反应 。 你 在 低 负 
节省 积分 ， 并 在 高 负载 时 使 积分 来 提高 突 发 性 能 。 但 是 ， 基 于 CPU 人 负载 扩展 县 
能 的 虚拟 服务 器 数量 是 不 一 定 行 得 通 的 ， 因 为 你 的 扩展 策略 必须 考虑 你 的 实 J XE 
够 的 积分 上 Sea ls 。 因 此 可 以 考虑 基于 另 一 个 指标 扩展 (如 请 求 数量 或 使 

实 T 


~ 
是 


很 多 时 候 ， 我 们 更 希 户 扩容 速度 比 缩小 速度 快 一 些 。 我 们 会 考虑 
每 5 min 不 止 增加 一 个 服务 右 而 增加 两 个 ， 但 每 10 min 只 减少 一 个 服务 


器 。 此 外 ， 可 以 通过 模拟 真实 流量 测试 你 的 扩展 策略 。 例 如 ， 设 置 访 
问 日 志 的 速度 与 服务 器 处 理 请 求 的 速度 一 样 快 。 但 请 记 住 ， 服 务 器 需 
量 增加 一 僧 。 


你 已 经 学 习 了 如 何 使 用 目 动 扩展 来 使 虚拟 服务 器 数量 适应 工作 仙 
载 。 下 面 通 it 些 实践 练习 来 更 好 地 理解 它 。 


14.3 RRBs ast 


如 采 你 需要 根据 需求 扩 Rote Ef GI 拟 服务 n 目 动 
扩展 组 可 以 帮助 你 提供 所 需 数量 的 、 统 一 环境 的 虚拟 服务 器 。 而 扩展 


FRE Cloud Watch Sth -FF n] DARS OK A BHT DM Ba) PI tes A AR ATAN 
Be o (EEA Ut A BTA SAR et PAR a RD hE TNE 
管 的 文章 ” HTTP 请 求 应 该 在 哪里 路 由 ? 


第 12 章 介绍 了 解 耦 的 概念 : 在 ELB 的 帮助 下 进行 同步 解 碍 和 在 
SQS 的 帮助 下 的 异步 解 籼 。 通 过 解 艳 可 以 将 请 求 或 消息 路 由 到 一 个 或 
多 个 服务 器 。 在 动态 服务 器 池 中 不 再 可 能 向 单个 服务 器 发 送 请 求 。 如 
果 要 使 用 自动 扩展 来 增加 和 减少 虚拟 服务 器 的 数量 ， 你 需要 解 耦 服务 
絮 ， 因 为 无 论 有 和 多少 服 务 器 在 负载 均衡 器 或 消息 队列 后 工作 ， 从 系统 
外 部 可 达 的 接口 都 需要 保持 不 变 。 图 14-5 显 示 了 基于 同步 或 异步 解 耦 
如 何 构建 可 扩展 系统 。 
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图 14-5 RRC COAST RAR ae Se 


Hy AAA AT RE RB i CTA ASRS ato TOTR ASRS a 
eee 。 以 下 两 个 示例 解释 了 无 状态 
Sasha ° 


。 WordPress 博 客 ——SELBARAY, EDA A oy E28 AlCloudWatchz& 
于 CPU 利用 率 目 动 扩展 ， 数 据 保存 在 外 部 的 RDS 和 S3 中 。 

。 URL2PNG 提 取 URL 的 屏幕 截 网 与 SQS (队列 ) fee, it 
自动 扩展 组 和 CloudWatch 基 于 队列 长 度 自动 扩展 ， 数 据 保存 在 外 
部 的 DynamoDB 和 S3。 


自动 扩展 


自动 扩展 


+ 


ee eer et eee ere 


回应 HTTP (S) 请 求 是 一 个 同步 任务 。 如 果 用 户 想 要 使 用 你 的 
Web 应 用 程序 ，Web 服 务 器 必须 立即 响应 请 求 。 当 使 用 动态 服务 器 池 
运行 Web 应 用 程序 时 ， 通 常 使 用 人 负载 均衡 占 将 服务 器 与 用 户 请 求解 
看 。 人 负载 均衡 器 作为 动态 服务 器 池 的 单个 入 口 点 ， 将 HTTP (S) 请 求 
转发 到 多 个 服务 器 。 


假设 你 的 公司 正在 使 用 企业 博客 发 布 公告 并 在 网 络 社区 上 与 公众 
进行 互动 。 你 负责 博客 的 托管 。 晚 上 流量 达到 每 日 的 高 峰 时 ， 营 销 部 
门 抱 她 网 页 速度 很 慢 。 你 希望 使 用 AWS 的 弹性 根据 当前 工作 负载 扩展 
服务 器 数量 来 解决 网 速 的 问题 。 


你 的 公司 在 WordPress 上 部 署 企 业 博 客 。 第 2 章 和 第 9 章 介绍 了 基于 
EC2 实 例 和 RDS (MySQL 数 据 库 ) 的 WordPress 安 装 程序 。 在 本 书 的 最 
后 一 章 中 ， 我 们 将 通过 添加 扩展 的 能 力 来 完成 这 个 例子 。 


图 14-6 显 示 了 可 扩展 的 WordPress 示 例 。 以 下 服务 使 用 了 高 度 可 用 
的 扩展 体系 架构 。 


运行 Apache 的 EC2 实 例 提供 PHP 应 用 程序 WordPress ° 

RDS 提 供 了 一 个 通过 多 可 用 区 部 署 高 度 可 用 的 MySQL 数 据 库 。 
S3 存 储 媒 体 文 件 ， 如 网 斤 和 视频 ， 与 WordPress 插 件 集成 。 
ELBE HFF Webi ki ai V RAER ° 

目 动 扩展 和 CloudWatch 基 于 所 有 正 运行 的 虚拟 服务 器 的 当前 CPU 
负载 来 扩展 Web 服 务 恬 的 数量 。 


V 
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访客 负载 均衡 器 
自动 扩展 
问题 : 媒体 文 
件 存 储 在 虚拟 
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存储 和 
查询 数据 库 
RDS MySQL 数 据 库 


图 14-6 II ERI evn Eo teen 


到 目前 为 止 ，WordPress 示 例 不 能 基于 当前 负载 进行 扩展 ， 并 且 还 
存在 一 个 问题 : WordPress 将 上 传 的 媒体 文件 存储 在 本 地 文件 系统 中 ， 
如 图 14-7 所 示 。 因 此 ， 服 务必 不 是 无 状态 的 。 如 果 你 上 传 某 个 博客 的 
图 片 ， 则 该 图 片 只 能 在 单个 服务 器 上 使 用 。 


Ww WJ 
VS 
Paati —-@ 
访客 负载 均衡 器 
自动 扩展 


am 
lll 发 送 度量 
多 个 Web 服 务 器 CloudWatch 度 量 和 警告 
存储 媒体 文件 存储 和 查询 数据 库 
S3 对 象 存储 媒体 文件 RDS MySQL 数 据 库 


图 14-7 ”自动 扩展 Web 服 务 器 运行 的 WordPress， 数 据 存储 在 RDS 和 S3 实 现 解 耦 ， 基 于 负载 均 
衡器 的 负载 比例 上 的 负荷 


如 果 你 想 运行 多 个 服务 器 来 处 理 负载 ， 这 将 会 成 为 一 个 问题 。 
他 服务 器 将 无 法 为 上 传 的 图 片 提 供 服务 ， 并 会 显示 404 ( 找 不 到 ) 
码 。 要 解决 这 个 问题 ， 你 将 ee ai s3-cloudfront 的 ] 
WordPress 插 件 ， 在 S3 的 帮助 下 存储 和 传送 媒体 文件 。 服 务 器 的 各 种 服 
务 的 状态 ， 就 像 把 数据 任务 外 包 给 MYSQL 的 RDS 数 据 库 一 样 ， 你 会 把 
服务 絮 的 各 种 任务 外 包 给 其 他 相应 的 服务 。 图 14-7 显 示 WordPress 的 
改进 架构 版 本 。 


像 往常 一 样 ， 读 者 可 在 下 载 的 源 代码 中 找到 相关 代码 。WordPress 
示例 的 CloudFormation 模 板 位 于 /chapter14/wordpress.json 中 。 


执行 以 下 命令 创建 一 个 CloudFormation 堆 栈 ， 用 于 启动 可 扩展 的 
WordPress 安 装 程序 。 使 用 你 的 博客 的 唯一 ID (如 awsinaction- 
andreas) , $AdminPassword (使 用 随机 密码 ) 和 $AdminEMail 

(使 用 你 的 电子 邮件 地 址 ) 替换 $ BlogID: 


$ aws cloudformation create-stack --stack-name wordpress \ 
--template-url https://s3.amazonaws.com/\ 
awSinaction/chapter14/wordpress.json \ 

--parameters ParameterKey=BlogID, ParameterValue=$BlogID \ 


ParameterKey=AdminPassword, ParameterValue=$AdminPassword \ 
ParameterKey=AdminEMail, ParameterValue=$AdminEMail \ 
--Capabilities CAPABILITY_IAM 


创建 堆栈 最 多 需要 10 min。 这 期 间 你 可 以 喝 点 咖啡 或 者 和 茶水 放松 
一 下 。 登 录 AWS 管 理 控制 台 ， 到 AWS CloudFormation 服 务 来 观察 名 为 
wordpress 的 CloudFormation 推 栈 的 创建 过 程 。 你 可 以 浏览 Cloud- 


Formation 模 板 最 重要 的 两 个 部 分 ， 如 代码 清单 14-6 和 代码 清单 14-7 所 
ZR œ 


代码 清单 14-6 ”可 伸缩 和 高 可 用 WordPress 设 置 (第 一 部 分 ， 总 共 两 部 分 ) 


"LaunchConfiguration": { 
"Type": "AWS: :AutoScaling: :LaunchConfiguration", -- -创建 自动 扩 


展 组 的 启动 配置 
"Metadata": [...], 
"Properties": { 


"ImageId": [...] 一 - -用 于 启动 虚拟 服务 器 的 操作 系统 映像 (AMI) 
"InstanceType": "t2.micro", -- -具有 虚拟 服务 器 防火 墙 规则 的 安全 组 
"SecurityGroups": [ 一- -虚拟 服务 器 的 大 小 
{"Ref": "WebServerSecurityGroup"} 
1, 
"KeyName": {"Ref": "KeyName"}, ~- -用 于 SSH 访问 的 密 钥 对 
"AssociatePublicIpAddress": true, ~- -将 公有 IP 地 址 与 虚拟 服务 器 
关联 
"UserData": [...] 一 - -自动 安装 和 配置 WordPress 脚本 
} 
ty 
"AutoScalingGroup": { 
"Type": "AWS: :AutoScaling: :AutoScalingGroup", -- -创建 自动 扩展 组 
"Properties": { 
"LoadBalancerNames": [{"Ref": "LoadBalancer"}], —- -在 负载 均 
衡器 上 注册 虚拟 服务 器 
"LaunchConfigurationName": { -- -引用 局 动 配置 
"Ref": "LaunchConfiguration" 
ty 
"MinSize": "2", -- -确保 至 少 有 两 个 虚拟 服务 器 正在 运行 ， 一 个 或 两 个 可 用 
区 的 高 可 用 性 


"MaxSize": "4", 一- -启动 不 超过 4 个 虚拟 服务 器 ， 以 节省 成 本 


"Desiredcapacity": "2", <= -启动 两 个 所 需 的 Web 服务 器 ， 如 有 必要 以 
后 由 Cloudwatch 警报 来 进行 更 改 


"Cooldown": "60", —--7E PREZ BD SEO s 

"HealthCheckGracePeriod": "120", —- -在 开始 监视 启动 虚拟 服务 器 的 
运行 状况 之 前 ， 至 少 等 待 120 s 

"HealthCheckType": "ELB", -- -使 用 ELB 运行 状况 检查 来 监视 虚拟 服务 
器 的 运行 状况 

"VPCZoneIdentifier": [ =- -在 两 个 不 同 的 可 用 性 区 中 启动 虚拟 服务 器 


以 获得 高 可 用 性 
{"Ref": "SubnetA"}, {"Ref": "SubnetB"} 


], 
"Tags": [{ =- -为 自动 扩展 组 启动 的 所 有 虚拟 服务 器 添加 一 个 包含 名 称 的 标记 
"PropagateAtLaunch": true, 
"Value": "wordpress", 
"Key" i "Name" 
}] 
} 
e] 
} 


扩展 策略 和 CloudWatch 警 报 在 代码 清单 14-7 中 遵循 。 


代码 清单 14-7 ”可 伸缩 和 高 可 用 的 WordPress 设 置 (第 二 部 分 ， 总 共 两 部 分 ) 


"ScalingUpPolicy": { 
"Type": "AWS: :AutoScaling: :ScalingPolicy", -- -创建 可 由 
Cloudwatch 警报 触发 的 扩展 策略 ， 以 增加 所 需 实 例 的 数量 


"Properties": { 


"AdjustmentType": "ChangeInCapacity", 一- -更 改 所 需 虚 拟 服务 器 的 
容量 
"AutoScalingGroupName": { -- -引用 自动 扩展 组 
"Ref": "AutoScalingGroup" 
ty 
"Cooldown": "60", -- -在 扩展 策略 触发 的 所 需 容量 的 两 个 更 改 之 间 至 少 等 
{F60 s 
"ScalingAdjustment": "1" -- -将 自动 扩展 组 的 当前 所 需 容量 增加 1 
} 
}, 
"CPUHighAlarm": { 
"Type": "AWS::Cloudwatch: :Alarm", -- -创建 新 的 Cloudwatch 警报 以 


监视 CPU 使 用 情况 
"Properties": { 


"EvaluationPeriods": "1", 一 - -平均 函数 应 用 于 度量 
"Statistic": "Average", -- -检查 警报 时 要 评估 的 时 间 
"Threshold": "60", ---7E 60% CPU FIR (ENS 


"AlarmDescription": "Alarm if CPU load is high." 
"Period": "60", 二 -- 从 度量 中 定义 基于 时 间 的 60 s 值 切片 


"AlarmActions": [{"Ref": "ScalingUpPolicy"}], ~- -引用 扩展 策略 
作为 触发 状态 更 改 警报 的 操作 
"Namespace": "AWS/EC2", ~- -度量 的 来 源 


"Dimensions": [{ ~- -度量 的 范围 ， 在 所 有 关联 的 服务 器 上 引用 自动 组 进行 


聚合 度量 


"Name": "AutoScalingGroupName", 
"Value": {"Ref": "AutoScalingGroup"} 
}], 
"ComparisonOperator": "GreaterThanThreshold", =- -如 果 平 均值 大 
FRE, WU fit Ac Bet 
"MetricName": "CPUUtilization" ~- -使 用 包含 CPU 利用 率 的 度量 
ty 


ens { ~- -扩展 策略 向 下 扩展 (相对 于 扩展 策略 以 扩大 规 
oR 


Erea] 

ty 

"CPULowAlarm": { -- -如 果 CPU 利用 率 低 于 闪 值 ， 则 CLoudwatch 警报 
besi] 

} 


在 CloudFormation 堆 栈 达 到 CREATE-COMPLETE 状态 后 ， 按 照 以 
下 步 又 操作 创建 包含 图 片 的 新 博客 帖子 。 


(1) 选择 CloudFormation 堆 栈 wordpress， 并 切换 到 Outputs 选 


项 。 
(2) 使 用 浏览 器 打开 所 显示 的 URL 链接 。 
(3) 在 搜索 框 中 搜索 Login (登录 ) 链接 ， 然 后 单 击 它 。 
(4) 使 用 用 户 名 admin 和 你 在 使 用 CLI 创 建 堆栈 时 指定 的 密码 登 


(5) 单 击 左 侧 菜 单 中 的 “帖子 ”。 
(6) 点 击 “ 添 加 "。 
(7) 输入 标题 和 文字 ， 然 后 将 图 片上 传 到 你 的 帖子 。 


(8) 点 击发 布 。 
(9) 通过 再 次 输入 步骤 1 中 的 网 址 ， 返 回 到 博客 。 


现在 你 可 以 准备 扩容 了 ， 我 们 准备 了 一 个 负载 测试 ， 将 在 短 时 间 
A [=] WordPressfk 4 a8 23410 000 个 请 求 。 新 局 动 的 虚拟 服务 An MD EB IX 
个 负载 。 几 分 钟 后 ， 负 载 测试 完成 后 ， 其 他 虚拟 服务 器 将 被 关闭 。 听 
起 来 如 此 好 玩 ， 你 绝对 不 能 错过 


如 果 计 划 进 行 更 大 规模 的 负载 测试 ， 可 考虑 AWS 可 接受 的 使 用 


E 开 始 之 前 请 
求 获得 许 所 


我 们 使 用 一 个 名 为 Apache Bench 的 工具 来 执行 WordPress 安 装 程序 的 负载 测试 。 该 工具 
是 Amazon Linux 软 件 包 存储 库 中 httpd-tools 软 件 包 的 一 部 分 


Apache Bench 是 一 个 基准 测试 工具 。 你 可 以 使 用 指定 数量 的 线程 发 送 指定 数量 的 HITP 
请 求 。 我 们 使 用 以 下 命令 进行 负载 测 ist, 使 用 两 个 线程 向 负载 均衡 器 发 送 10 000 个 请 求 。 
$Ur lLoadBalancer 由 负载 均衡 器 的 URL 替 换 : 


$ ab -n 10000 -c 2 $UrlLoadBalancer 


使 用 以 下 命令 更 新 CloudFormation 堆 栈 以 启动 负载 测试 : 


$ aws cloudformation update-stack --stack-name wordpress \ 
--template-url https://s3.amazonaws.com/\ 
awSinaction/chapter14/wordpress-loadtest.json \ 
--parameters ParameterKey=BlogID, UsePreviousValue=true \ 


ParameterKey=AdminPassword, UsePreviousValue=true \ 
ParameterKey=AdminEMail, UsePreviousValue=true \ 
--Capabilities CAPABILITY_IAM 


在 AWS 管 理 控制 台 的 帮助 下 ， 观 察 以 下 事情 的 发 生 。 
(1) 打开 CloudWatch 服 务 ， 然 后 单 击 左 侧 的 警报 。 


(2) 当 负 载 测试 开始 时 ， 名 为 wordpress-CPHi Alarm-* 的 
报警 将 在 几 分 钟 后 到 达 ALARM 状态 。 


(3) 打开 EC2 服 务 并 列 出 所 有 EC2 实 例 。 注 意 到 另外 两 个 实例 的 
启动 。 最后， 你 将 会 看 到 5 个 实例 (4 个 Web 服 务 器 和 运行 负载 测试 的 
服务 器 ) 。 

(4) 回 到 CloudWatch 服 务 ， 等 待 名 为 wordpress-CPU Alarm- 
* 的 报警 到 达 ALARM 状态 。 

(5) 打开 EC2 服 务 并 列 出 所 有 EC2 实 例 。 观 察 到 两 个 额外 的 实例 
消失 。 最 后 ， 总 共 你 会 看 到 3 个 实例 (两 个 Web 服 务 器 一 个 运行 负载 测 
斌 的 服务 器 ) 。 

整个 过 程 需要 20 min 左 右 。 


你 已 经 看 到 目 动 调整 的 动作 ， 你 的 WordPress 设 置 可 以 适应 当前 的 
工作 负载 ， 也 就 解决 了 在 晚上 缓慢 加 载 页 面 的 问题 。 


u 资源 清理 


执行 以 下 命令 删除 对 应 于 Wordpress 设 置 的 所 有 资源 ， 记 住 蔡 换 $BlogID : 


$ aws s3 rb s3://$BlogID --force 
$ aws cloudformation delete-stack --stack-name wordpress 


14.3.2 AIRE ER ESRA a8 He 


WAR RR aA TERRI RA, FRR ASRS AEE 
供 了 一 个 优势 : 因为 请 求 不 需要 立即 被 响应， 你 可 以 将 请 求 放 入 队 
列 ， 并 根据 队列 长 度 扩展 服务 右 数 量 。 这 为 你 提供 了 一 个 非 第 准确 的 
衡量 指标 。 由 于 它们 存储 在 队列 中 ， 加 载 峰值 期 间 请 求 也 不 会 丢失 。 


假设 你 正在 开发 一 个 社交 书签 服务 ， 用 户 可 以 保存 和 共 至 其 书 
签 。 提 供 预 多 并 且 显 示 链 接 后 面 的 网 站 是 一 个 重要 的 功能 。 但 在 晚 


上 ， 大 多 数 用 户 向 你 的 服务 添加 狐 书 等 时 ， 从 URL 到 PNG 的 转换 很 
慢 。 客 户 对 预览 不 会 立即 显示 一 定 会 不 太 满 意 。 


为 了 在 晚上 处 理 峰值 负载 ， 你 想 要 使 用 自动 扩展 。 为 此 ， 你 需要 
对 新 书签 的 创建 和 生成 网 站 预览 的 过 程 进行 解 厢 。 第 12 章 介绍 了 一 个 
称 为 URL2PNG 的 应 用 程序 ， 它 将 URL 转 换 为 PNG 图 片 。 图 14-8 显 示 了 
该 架构 ， 其 中 包括 用 于 异步 解 耘 的 SQS 队 列 和 用 于 存储 生成 的 映像 的 
S3。 创 建 书签 将 触发 以 下 过 程 。 

(1) 包含 新 书签 的 URL 和 唯一 ID 发 送 到 SQS 队 列 消 息 。 

(2) EC2 实 例 运行 Node.js 应 用 程序 从 SQS 队 列 抓 取 消息 。 

(3) Node.js 应 用 程序 加 载 URL 并 创建 屏幕 截图 。 

(4) 屏幕 截图 上 传 到 Ss3 存 储 桶 ， 对 象 键 设置 为 唯一 ID。 


(5) 用 户 可 以 在 唯一 ID 的 帮助 下 直接 从 S3 下 载 网 站 的 屏幕 截 


图 。 


CloudWwatch 警 报 用 于 监视 SQS 队 列 的 长 度 。 如 果 队 列 的 长 度 达到 
5， 则 局 动 一 个 新 的 虚拟 服务 器 来 处 理工 作 负 载 。 如 果 队 列 长 度 小 于 
5， 则 另 一 个 CloudWwatch 警 报 会 降低 目 动 扩展 组 的 所 需 容量 。 


具体 代码 可 在 下 载 的 源 代 码 中 找到 。URL2PNG 示 例 的 
CloudFormation 模 板 位 于 /chapterl4/url2png.json 中 。 


执行 以 下 命令 创建 一 个 CloudFormation 堆 栈 ， 用 于 启动 URL2PNG 
应 用 程序 。 将 $ ApplicationID 替换 为 你 的 应 用 程序 的 唯一 ID (如 


url2png-andreas) : 


$ aws cloudformation create-stack --stack-name url2png \ 


--template-url https://s3.amazonaws.com/\ 
awSinaction/chapter14/url2png.json \ 

--parameters 

ParameterKey=ApplicationID, ParameterValue=$ApplicationID \ 
--Capabilities CAPABILITY_IAM 


创建 堆栈 最 多 需要 5 min。 登 录 AWS 管 理 控制 台 ， 然 后 搜 到 AWS 
CloudFormation 服 务 以 观察 名 为 urL2png 的 CloudFormation 堆 栈 的 过 
程 。 


CloudFormation 模 板 类 似 于 用 于 创建 同步 解 耘 的 WordPress 安 装 程 
序 的 模板 。 代 码 清单 14-8 显 示 了 主要 区 别 : CloudWwatch 警 报 监视 SQS 
队列 的 长 度 ， 而 不 是 CPU 使 用 情况 。 


yl 送 
区 插入 作业 到 队列 加 发 送 度量 


SQS 消 息 队 列 CloudWatch 
度量 和 警告 

从 工作 中 提取 队列 | 触发 扩展 
自动 扩展 
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S3 对 象 存储 媒体 文件 


图 14-8 ”将 un 转换 为 图 片 的 自动 扩展 虚拟 服务 器 ， 由 SQS 队 列 解 粳 


代码 清单 14-8 监视 SQS 队 列 的 长 度 


[...] 

"HighQueueAlarm": { 
"Type": "AWS::Cloudwatch: :Alarm", 
"Properties": { 


"EvaluationPeriods": "1", 一- -检查 警报 时 要 评估 的 周期 数 

"Statistic": "Sum", 

"Threshold": "5", -- -如 果 达 到 5 WA HBR 

"AlarmDescription": "Alarm if queue length is higher than 5.", 

"Period": "300", ~- -使 用 300 s 的 时 间 ， 因 为 SQS 指标 每 5 min 发 布 
一 次 


"AlarmActions": [{"Ref": "ScalingUpPolicy"}], =- -通过 扩展 策略 


将 所 需 实例 的 数量 增加 1 


"Namespace": "AWS/SQS", -- -该 度量 的 数据 由 SQS 服务 发 布 
"Dimensions": [{ =- -队列 〈 按 名 称 引 用 ) 用 作 度 量 的 维度 
"Name": "QueueName", 


"Value" : {"Fn::GetAtt": 
["SQSQueue", "QueueName" ] } 


}], 
"ComparisonOperator": "GreaterThanThreshold", -- -如 果 在 该 其 间 
内 值 的 总 和 大 于 5 这 个 值 ， 则 报警 
"MetricName": "ApproximateNumberOfMessagesVisible" 一 - -度量 
含 了 队列 中 挂 起 的 消息 的 一 个 大 致 的 数字 
} 
} 
[ra 


现在 你 可 以 进行 扩展 试验 了 。 我 们 准备 了 一 个 负载 测试 ， 将 为 
URL2PNG 应 用 程序 快速 生成 250 个 消息 。 将 以 启动 新 的 虚拟 服务 an Mb 
理 负 载 。 几 分 钟 后 ， 负 载 测 试 完成 后 ， 其 他 虚拟 服务 器 将 会 终止 。 


使 用 以 下 命令 更 新 CloudFormation 推 栈 以 局 动 负 载 测 试 : 


$ aws cloudformation update-stack --stack-name url2png \ 
--template-url https://s3.amazonaws.com/\ 
awSinaction/chapter14/url2png-loadtest.json \ 


--parameters ParameterKey=ApplicationID, UsePreviousValue=true \ 
--Capabilities CAPABILITY_IAM 


在 AWS 管 理 控 制 台 上 ， 观 察 以 下 事情 的 发 生 。 
(1) 打开 CloudWwatch 服 务 ， 然 后 单 击 左 侧 的 警报 。 


(2) 当 负 载 测试 开始 时 ， 名 为 url2png-High Queue Alarm- 
* 的 警报 将 在 几 分 钟 后 到 达 ALARM 状态 。 


(3) 打开 EC2 服 务 并 列 出 所 有 EC2 实 例 。 注 意 要 启动 的 其 他 实 
例 。 最 后 ， 你 将 看 到 三 个 实例 (两 个 工作 服务 器 和 一 个 运行 负载 测试 
的 服务 器 ) 。 


(4) 回 到 CloudWatch 服 务 ， 等 待 名 为 ur12png-LowQueue 
Alarm-* 的 警报 到 达 ALARM 状态 。 


(5) 打开 EC2 服 务 并 列 出 所 有 EC2 实 例 。 观 察 其 他 实例 消失 。 最 
， 你 将 看 到 两 个 实例 (一 个 工作 服务 器 和 一 个 运行 负载 测试 的 服务 


2 Om 


整个 过 程 需 要 15 min 左 右 。 


你 已 观察 到 扩展 组 的 目 动 调整 过 程 。 现 在 URL2PNG 应 用 程序 可 以 
运 应 当前 工作 负载 ， 这 样 也 整 解 决 了 新 书签 生成 屏幕 截图 较 慢 的 问 
题 。 


YR = JE 
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执行 以 下 命令 删除 与 URL2PNG 设 置 相对 应 的 所 有 资源 CAM SID TE 
$Application) : 


$ aws s3 rb s3://$ApplicationID --force 
$ aws cloudformation delete-stack --stack-name url2png 


14.4 小结 


可 以 以 相同 的 万 式 使 用 局 动 配置 和 目 动 扩展 组 来 局 动 多 个 虚拟 服 
Fat ° 


EC2、SQS 和 其 他 服务 将 指标 参数 发 送 到 CloudWatch (CPU 利 用 
率 、 队 列 长 度 等 ) 。 

CloudWatch 警 报 可 以 更 改 自动 扩展 组 的 所 需 容量 。 这 人 允许 你 根据 
CPU 利用 率 或 其 他 指标 增加 虚拟 服务 器 的 数量 。 

i 展 服务 器 ， 则 服务 器 必须 是 无 状态 
为 了 在 多 个 虚拟 服务 器 之 间 分 配 负 载 ， 需 要 借助 于 负载 均衡 器 的 
同步 解 耦 或 消息 队列 的 异步 解 耘 。 


